L’adresse utilisée par le cybergang REvil est de nouveau opérationnelle, selon des chercheurs en cybersécurité. Elle redirige vers un site hébergé sur le dark Web. Des spécialistes s’interrogent sur le retour du cybergang. Est-ce vraiment une résurrection de REvil ?
Un nouveau site de leak REvil sur RuTOR
Selon des chercheurs en sécurité informatique, un nouveau site de leak REvil happy blog est opérationnel sur RuTOR.
La question se pose alors sur le retour de REvil. Après son démantèlement, le cybergang a disparu, puis est réapparu quelques semaines plus tard, avant d’être mis hors d’état de nuire par la coalition internationale.
Aujourd’hui, la réapparition du cybergang REvil est de nouveau d’actualité. Son nouveau site est hébergé sur un domaine différent, mais rappelle grandement celui qu’utilisait REvil auparavant. Les chercheurs en sécurité informatique ont capturé une preuve de redirection vers le site du cybergang. On y trouve des détails sur les conditions d’affiliation et comment disposer d’une version améliorée de REvil, ainsi que la répartition 80/20 des rançons extorquées. Des informations sur d’anciennes et de récentes cyberattaques comme celle qui a visé OIL India y apparaissent aussi. Le cybergang a réclamé une rançon de près de 8 millions de dollars lors de cette attaque.
Un retour depuis avril 2022
La résurrection du site web Happy Blog de rançongiciels du cybergang de REvil a suscité des interrogations chez les spécialistes. Selon John Hammond, de la société Huntress Labs spécialisée en détection et en réponse aux cyberattaques, le site a été utilisé pour publier les données des victimes qui avaient refusé de payer la rançon, avant que le site ait été mis hors ligne et que REvil ait disparu. « Rejoignez-nous » est une page qui suggère l’utilisation du logiciel en version améliorée sur des travaux et qui indiquerait une résurrection de REvil.
Le site a été activé le 5 avril 2022. Les jours suivants, des contenus ont été ajoutés. Le flux RSS intègre une balise de line corpleak.com, balise utilisée par Nefilim. Avec la présence d’un cookie DEADBEEF utilisé par TesmaCrypt, un autre groupe de cybergang, le site intrigue les spécialistes. En effet, les sites de leak de données et de paiement de REvil étaient sous contrôle du FBI. Or, une page intitulée « REvil is bad » qui contient un formulaire de connexion utilisant des passerelles TOR et l’emplacement Onion est en ligne depuis novembre 2021.
Avec la redirection, tout semble indiquer que quelqu’un d’autre a accès aux clés privées TOR pour apporter des modifications au site Onion.
Une identité qui intrigue
Des questions se posent sur l’identité du cybergang. Est-ce une arnaque ou une continuité de l’ancienne structure de REvil ? Plusieurs opérateurs de ransomware comme LV et Ransom Cartel, utilisent des crypteurs REvil corrigés pour se faire passer pour des membres du groupe d’origine. Toutefois, la redirection n’est possible que si la personne dispose au moins d’un accès partiel à l’infrastructure de REvil.