Selon le FSB, le service fédéral de sécurité de la Fédération de Russie, le groupe de Hackers Revil a été démantelé. Comment ce groupe agit-il ? Est-il vraiment hors d’état de nuire ?
REvil, un logiciel malveillant
Aussi dénommé Sodinokibi, REvil est un logiciel malveillant de type rançongiciel. Le terme « REvil » est la contraction de Ransomware et Evil. C’était le nom que portait le groupe de cybercriminels qui l’utilisait.
Comment le groupe agit-il ?
Le groupe agit depuis la Russie pour cibler des entreprises et des organisations de n’importe où dans le monde. Les attaques se présentaient sous forme de piratage de réseaux. C’est une forme de prise d’otages numérique très lucrative. Des outils malveillants chiffraient le contenu des ordinateurs des victimes. Le réseau informatique était alors paralysé et le groupe de hackers demandait une rançon contre la clé de déchiffrement pour le restaurer. Les rançons demandées sont en cryptomonnaies. Le groupe de cybercriminels menaçait aussi de diffuser des données.
REvil, un groupe tentaculaire
Les opérateurs de REvil sont tentaculaires. En effet, ils louent leurs logiciels malveillants à des affiliés, des complices qui collaboraient avec d’autres groupes spécialisés dans l’intrusion sur des réseaux informatiques.
REvil, des grandes entreprises parmi les cibles
Depuis sa création en avril 2019, REvil a fait plusieurs victimes. La société Quanta, une entreprise sous-traitante d’Apple est l’une d’elles. Le groupe a fait chanter Apple en menaçant de diffuser des documents sur ses nouveaux produits. REvil a aussi attaqué la filiale américaine du groupe agroalimentaire brésilien JBS, ce qui a paralysé les activités du groupe en Australie. Soupçonné d’être affilié à REvil, le groupe cybercriminel Darkside a aussi paralysé les activités de Colonial Pipeline aux USA. Il s’agit du principal fournisseur d’essence de l’Est des États-Unis. Pour récupérer le contrôle de ses installations, l’entreprise a dû verser une rançon de 4,4 millions de dollars.
La cyberattaque considérée comme la plus sophistiquée a été lancée contre la Société informatique américaine Kaseya, en juillet 2021. Elle aurait infecté 1500 réseaux d’entreprises. L’attaque a entraîné la vulnérabilité des logiciels de la société Kaseya.
Le phishing ou hameçonnage, une des techniques utilisées par REvil.
Cette technique consiste à attaquer la victime via un courrier électronique. Elle l’invite à télécharger un fichier compressé qui est, en réalité, le vecteur d’infection.
REvil, des hackers russophones
L’attaque au rançongiciel de la société Kaseya a été revendiquée par un groupe de hackers russophones en juillet 2021. Des indices ont montré que si la langue russe était utilisée, le programme suspendait les activités de la victime. Des forums russophones vendent aussi le programme.
REvil, une activité criminelle très lucrative
Cette forme d’activité criminelle est très lucrative. Selon le Trésor américain, près de 600 millions de dollars de rançons ont été versés rien que pendant le premier semestre 2021, contre 461 millions de dollars en 2020.
Face à l’appât du gain, doit-on s’attendre à ce que d’autres hackers se forment, même si REvil a été démantelé ?