À la mi-juillet de cette année, les criminels à l’origine du ransomware « REvil », également connu sous le nom de Sodinokibi, ont disparu de la scène. Lorsque le « Happy Blog », qui contenait des données divulguées sur les victimes de chantage, a été remis en ligne de manière surprenante la semaine dernière, des spéculations ont été lancées sur une action délibérée des services répressifs concernés.
Entre-temps, il est apparu qu’une partie de l’infrastructure du serveur REvil a effectivement été compromise par une partie inconnue – et qu’un membre de la bande du ransomware a disparu dans des circonstances inexpliquées. Cela n’empêche pas le reste de la bande de reprendre son incursion avec de nouvelles variantes de logiciels malveillants et des fuites de données sur le « Happy Blog ».
Sommaire
Circonstances du retrait en juillet
À la place du membre « Inconnu », qui faisait habituellement office de porte-parole du gang REvil dans les forums et auprès de la presse, un autre membre a publié de nouveaux messages dans un forum underground sous le simple pseudonyme de REvil à la fin de la semaine dernière. Des captures d’écran de la conversation ont été publiées par Bleeping Computer, entre autres. L’auteur y explique en russe que « Inconnu » a disparu (vraisemblablement en juillet de cette année, la date exacte n’est pas mentionnée) dans des circonstances inexpliquées.
Les développeurs du code malveillant REvil, après avoir attendu en vain pendant un certain temps, ont fini par croire qu’Inconnu avait été arrêté. De plus, leur hébergeur les avait informés que les serveurs Clearnet du gang, sur lesquels fonctionnait notamment l’infrastructure de paiement de REvil, avaient été « compromis » – par qui n’apparaît pas clairement dans l’article. En tout cas, l’hébergeur a immédiatement supprimé le contenu. En conséquence, les développeurs du code malveillant REvil avaient temporairement arrêté le reste de l’infrastructure des serveurs du Darknet après en avoir fait une sauvegarde.
Les développeurs de REvil ont apparemment divulgué Masterkey eux-mêmes.
L’auteur des posts explique également comment la société américaine Kaseya est entrée en possession de la clé maîtresse REvil. Une traduction de son explication a été publiée par la société Flashpoint dans un billet de blog. « Notre processus de cryptage nous permet de générer soit une clé de décryptage universelle, soit des clés individuelles pour chaque système », précise-t-elle. Alors qu’un grand nombre de clés devaient être générées, l’un des développeurs a simplement cliqué dans le mauvais sens et a généré une clé universelle, qu’il a ensuite accidentellement envoyée avec des clés individuelles. « C’est comme ça qu’on se chie dessus », conclut la traduction de Flashpoint.
Lire aussi
En fin de compte, le retour de REvil pourrait être une stratégie sophistiquée des enquêteurs pour gagner la confiance des affiliés de ransomware et d’autres méchants. Par ailleurs, le calme avec lequel le gang de REvil retourne à ses activités quotidiennes est surprenant : une nouvelle variante de REvil/Sodinokibi compilée le 4 septembre est déjà apparue sur le service de vérification des logiciels malveillants VirusTotal. En outre, une nouvelle entrée avec des données sur les entreprises a été ajoutée au « Happy Blog ».
(ovw)