REvil
REvil, connu aussi sous le nom de Sodinokibi, est un logiciel malveillant de type rançongiciel et par extension le groupe de hackeurs qui en est à l'origine.
Son nom est un mot-valise, résultat de la contraction de Ransomware et de Evil. Le modèle économique est celui du RaaS (Ransomware as a service ou rançongiciel en location).
Présentation
Il est apparu pour la première fois en avril 2019. On soupçonne qu'il est opéré par l'ancien groupe GrandCrab, dont la disparition coïncide justement avec cette date. Selon IBM Security X-Force, au cours de l'année 2020, REvil / Sodinokibi est le rançongiciel le plus souvent impliqué dans des attaques[1]. Celles-ci consistent non seulement à chiffrer les données que la victime ne peut recouvrer que contre une rançon, mais en plus, les cybercriminels exercent un chantage à la diffusion de ces données.
Parmi les victimes de ces extorsions, on compte le groupe pharmaceutique Pierre Fabre[2], probablement la société d'informatique taïwanaise Acer[3] et le fabricant d'ordinateurs portables Quanta. Cette dernière compte parmi ses clients la société Apple, que les opérateurs essaient d'extorquer[4].
En mai 2021, la cyberattaque de Colonial Pipeline aux États-Unis est attribuée au groupe Darkside[5], soupçonné d'être affilié à REvil.
L'attaque contre le groupe agro-alimentaire JBS en 2021 a été attribuée par le FBI au groupe russe REvil/Sodinokibi[6].
Début juillet 2021, l'attaque contre la société Kaseya, attribuée au groupe REvil, a été décrite comme particulièrement sophistiquée[7].
Le vecteur d'infection principal est un courriel d'hameçonnage (phishing) qui invite à télécharger un fichier compressé[8], mais d'autres techniques ont été utilisées (ainsi en juin 2021 une vulnérabilité de logiciels de la société Kaseya[9]).
Plusieurs éléments indiquent une origine russe de ce logiciel malveillant : le programme a pour instruction de suspendre son activité s'il détecte que la langue du système est le russe[10], et il est en vente sur des forums russophones[11]. Le gouvernement américain ayant mis en demeure le président russe Vladimir Poutine de faire cesser ces cyberattaques, l'activité de REvil a aussitôt été suspendue, ce qui accrédite encore un peu plus l'implication de cybercriminels russes[12].
En octobre 2021, les activités du groupe semblent avoir été compromises de façon décisive à la suite d'une opération internationale[13].
Le FSB annonce en janvier 2022 avoir démantelé le réseau[14].
Références
- Lucian Constantin, « REvil : décryptage du plus terrible des ransomwares », Le Monde informatique, (lire en ligne)
- Louis Adam, « Pierre Fabre : Le groupe Revil revendique l’attaque », sur ZDnet, (consulté le )
- Damien Bancal, « Le géant de l’informatique ACER aux prises avec des pirates informatiques », sur ZATAZ, (consulté le )
- Damien Bancal, « Sodinokibi propose à APPLE de lui racheter des informations volées concernant ses prochains ordinateurs », sur ZATAZ, (consulté le )
- « Colonial Pipeline, géant américain des oléoducs, toujours en partie paralysé par une cyberattaque », sur France 24, (consulté le )
- François Manens, « Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel », Numerama, (lire en ligne)
- « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde.fr, (lire en ligne, consulté le )
- « Une analyse de Sodinikibi: Le ransomware as a service persistant », sur Panda Security, (consulté le )
- Florian Reynaud, « Comment des pirates ont paralysé des centaines d’entreprises dans le monde en quelques heures », Le Monde.fr, (lire en ligne, consulté le )
- Denis Legazo, « Attaque REvil sur Apple - Commentaire de Kaspersky », sur Glabal Security Mag, (consulté le )
- ANSSI, État de la menace rançongiciel, (lire en ligne), p. 26
- « Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden », sur Developpez.com, (consulté le )
- Edward Back, « Le gang de hackers REvil a été mis hors d’état de nuire », sur Futura (consulté le )
- Fin de partie pour REvil, célèbre groupe cybercriminel spécialisé dans le ransomware, 01.net, 14 janvier 2022, Gilbert Kallenborn
- Portail de la sécurité informatique
- Portail de la criminologie