La réapparition de REvil pourrait annoncer de nouvelles campagnes de rançon

Le retour apparent du syndicat de ransomware REvil au milieu de la réactivation de son infrastructure et de son site de fuite Web sombre – connu sous le nom de Happy Blog – a jeté le doute sur les précédents rapports sur la disparition de l’équipage et pourrait encore annoncer une nouvelle campagne d’attaques de ransomware dans les mois à venir. .

Le syndicat s’est déconnecté à la mi-juillet dans des circonstances mystérieuses, ce qui a incité la communauté à spéculer que les autorités russes avaient fait pression sur le gang pour qu’il réduise ses activités à la suite de son attaque très médiatisée contre Kaseya, qui a détruit plusieurs entreprises en supprimant leurs services gérés. fournisseurs.

D’autres ont émis l’hypothèse qu’il y avait eu une brouille au sein de l’organisation REvil, ou que les membres du gang avaient simplement décidé de retirer de l’argent et de « retirer » REvil pour se concentrer sur de nouveaux projets, comme ils l’avaient fait une fois auparavant.

La réactivation de REvil’s Happy Blog a été reprise par des chercheurs de toute la communauté de la sécurité, y compris Emsisoft et Avenir enregistré. Plusieurs rapports indiquent que le portail de paiement du groupe est également à nouveau disponible, et Ordinateur qui bipe a confirmé que REvil attaque se déroulent actuellement.

Le stratège en chef de la sécurité d’Exabeam, Steve Moore, a déclaré que, comme la réactivation de certaines parties de l’infrastructure de REvil semble être un signe que l’opération est de nouveau opérationnelle, ce n’est qu’une question de temps avant une autre attaque importante.

Lire aussi  AT&T, Verizon et T-Mobile commenceront à fournir des données sur l'axe z pour les appels 911

« J’encourage les organisations à réfléchir à ce double point », a déclaré Baker. « Premièrement, leur prochaine chaîne d’approvisionnement logicielle est sans aucun doute compromise. La technique a commencé dans l’espionnage et a maintenant été empruntée pour des activités criminelles. Cette campagne n’a pas encore commencé, mais le sera très bientôt.

« D’un autre côté, les défenseurs devraient se concentrer davantage sur les intrusions manquées et les mauvaises options de récupération et moins sur les ransomwares. Le ransomware est le produit de l’incapacité de détecter et de perturber le cycle de compromission – point final. »

Moore a ajouté : « Directement, REvil a pris le temps de se réaménager, de se rééquiper et de prendre un peu de vacances cet été. Le fait que leurs sites soient de nouveau en ligne signifie qu’ils sont, encore une fois, prêts pour les affaires et qu’ils ont des objectifs en tête.

Le directeur des opérations de sécurité de Talion, Chris Sedgwick, a ajouté: «Les groupes de pirates qui disparaissent lorsque les choses se réchauffent sont quelque chose que nous avons fréquemment vu dans le passé, avec des cas comme Emotet ou Anonymous. Lorsque des groupes disparaissent, c’est généralement pour gagner du temps et les détourner de l’attention des forces de l’ordre, et cela signifie rarement qu’ils disparaissent pour de bon.

« En supposant qu’il s’agisse bien du même groupe de menaces qui exploite l’infrastructure, nous nous attendrions à voir une nouvelle variante de ransomware du groupe dans un proche avenir, mais avec des victimes beaucoup plus soigneusement sélectionnées pour détourner l’attention des médias et du gouvernement. autant que possible.

Lire aussi  Plan d'interdiction des toits sombres abandonnés alors que le gouvernement de NSW revient sur les mesures de durabilité | Nouvelle Galles du Sud

Outre Kaseya, le gang REvil – également connu sous le nom de Sodinokibi – et ses filiales ont été à l’origine de certaines des attaques de ransomware les plus percutantes des deux dernières années, avec des victimes dont la société américaine d’approvisionnement en viande JBS, le constructeur de PC taïwanais Acer, une loi de New York. entreprise avec des clients célèbres, dont les chanteuses Nicki Minaj et Mariah Carey, et le fournisseur de services de change Travelex, qui a finalement fait faillite à la suite d’une attaque précoce de REvil à la fin de 2019.

On pense que ces efforts ont rapporté à ceux qui sont derrière REvil au moins 100 millions de dollars et peut-être plus.

Même s’il y a une autre explication derrière la réémergence apparente de REvil, les équipes de sécurité devraient profiter de ce temps pour faire le point sur leur posture de cybersécurité et leurs plans de réponse aux ransomwares. Des conseils supplémentaires sur les défenses efficaces contre les ransomwares sont disponibles auprès du National Cyber ​​Security Centre du Royaume-Uni.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Recent News

Editor's Pick