Avez-vous déjà entendu parler de REvil ? Ce fameux groupe de rançongiciels rendu célèbre par son attaque qui avait pris d’assaut près de 1 500 entreprises ? Si vous le connaissez, vous avez sûrement ouï dire qu’il a mystérieusement disparu d’Internet. C’en est ainsi depuis l’avertissement proféré par Joe Biden. Pour l’heure, on ignore la réelle raison derrière ce retrait soudain. Cependant, beaucoup de rumeurs circulent à ce sujet.
REvil : petite rétrospective sur ce groupe devenu fantôme du jour au lendemain
REvil est connu pour être ce groupe de ransomwares russe responsable des plus grandes et récentes cyberattaques. On sait qu’il a aussi soudainement disparu d’Internet.
Certains médias comme Reuters et le Washington Post ont enquêté : les sites Web du groupe ont fermé boutique depuis mardi dernier. L’ensemble des sites et des plateformes ayant peu ou prou un lien direct avec le groupe ont désormais déserté la toile. Cela inclut les sites ayant fait sa promotion, ceux qui leur permettaient d’effectuer les négociations avec ses victimes ou encore ceux utiles au déchiffrement. Quand on en fait la recherche sur le Web, un message d’indisponibilité « serveur avec le nom d’hôte spécifié introuvable » apparaît.
Pour rappel, ce groupe auteur d’attaques cybercriminels se spécialise dans les rançongiciels. Parmi les coups qui ont propulsé leur popularité, on peut citer l’attaque ayant touché environ 1 500 entreprises ayant fait usage du logiciel de gestion de Kaseya. Cela lui a également valu les gros titres dans les médias vu qu’il avait demandé une rançon de 70 millions de dollars contre la restitution des données subtilisées. Avant tout cela, REvil s’en est aussi pris à de grandes entreprises comme Acer, Quanta Computer et le producteur de viande JBS.
La disparition de REvil : les « comment » du « pourquoi »
Une éminente organisation cybercriminelle qui s’évapore sans crier gare ? Il y a de quoi s’interroger. C’en est d’autant plus suspicieux quand cela coïncide avec le moment où le Président américain Joe Biden a échangé quelques mots au téléphone avec le Président russe Vladimir Poutine. Le président américain souhaitait le convaincre de prendre certaines mesures pour enrayer l’activité des groupes cybercriminels dans son pays. Par la même occasion, il n’hésite pas à faire pression sur le fait que si besoin est, les États-Unis prendraient les dispositions nécessaires pour protéger leurs infrastructures critiques et leurs concitoyens. Coïncidence ? On ne sait pas. On peut supposer que ces démarches ont mené au démantèlement de REvil. Il se peut aussi que les déclarations de Biden aient poussé le groupe à faire profil bas pour ne pas s’attirer les foudres de ce dernier. Cependant, il faut également savoir que s’éclipser ainsi est chose courante chez les ransomware après qu’ils aient réussi leurs coups.
Ce qui est sûr, un de ses concurrents, LockBit, avait fait une déclaration évocatrice l’après-midi après que REvil se soit volatilisé. Il affirme que selon des informations non corroborées, l’infrastructure de REvil a fait l’objet d’une requête légale de la part du gouvernement. Cela l’a alors contraint à disparaître complètement des radars et à effacer toutes ses traces sur ses serveurs. Néanmoins, c’est encore une théorie à confirmer.
Dans tous les cas et quelle que soit la raison derrière cette soudaine disparition, cela risque de coûter cher aux entreprises victimes du groupe, et plus particulièrement de sa dernière attaque. Pour cause, elles n’ont désormais plus aucun moyen de retrouver leurs données dérobées.