Le groupe de rançongiciels REvil est de nouveau opérationnel avec une nouvelle infrastructure et un crypteur modifié après avoir été soi-disant fermé l’année dernière.
En octobre 2021, le célèbre gang de rançongiciels a été fermé après qu’une opération d’application de la loi ait détourné ses serveurs Tor. Cela a été suivi par l’arrestation de plusieurs de ses membres clés par le FSB russe.
Alors que l’invasion de l’Ukraine par la Russie a détérioré les relations entre elle et les États-Unis, le gouvernement américain est allé de l’avant et a fermé unilatéralement le canal de communication qu’il avait sur la cybersécurité avec Moscou. En conséquence, les États-Unis se sont également retirés du processus de négociation concernant REvil.
Alors qu’il semblait un peu là-bas que REvil avait définitivement fermé boutique, l’ancienne infrastructure Tor du groupe a récemment recommencé à fonctionner. Cependant, au lieu d’afficher d’anciens sites Web, ses serveurs Tor ont redirigé les visiteurs vers des URL pour une nouvelle opération de rançongiciel sans nom, selon un rapport de BipOrdinateur.
Un nouveau chiffreur REvil
Les sites Web sont redirigés tout le temps, c’est pourquoi trouver un nouvel échantillon du crypteur de ransomware de REvil et l’analyser est le seul moyen de savoir si le groupe cybercriminel est vraiment revenu ou non.
Heureusement, le directeur de la recherche sur les logiciels malveillants chez Avast, Jakub Kroustek, a récemment trouvé un échantillon du chiffreur utilisé par le nouveau groupe de rançongiciels qui peut ou non être REvil. Il convient de noter que d’autres opérations de ransomware ont utilisé le chiffreur de REvil dans le passé, mais elles ont toutes utilisé des exécutables corrigés au lieu d’avoir un accès direct au code source du groupe.
Plusieurs chercheurs en sécurité et analystes de logiciels malveillants qui ont parlé avec BipOrdinateur ont confirmé que ce nouvel échantillon est compilé à partir du code source de REvil bien qu’il inclue de nouvelles modifications. Dans un publier sur Twitterle chercheur en sécurité R3MRUM a déclaré que bien que le numéro de version de l’échantillon soit 1.0, il s’agit en fait d’une continuation de la dernière version de chiffrement de REvil (2.08) qui a été publiée avant la fermeture du groupe.
Le PDG d’Advanced Intel, Vitali Kremez, a également pu rétroconcevoir l’échantillon en question et il a confirmé BipOrdinateur qu’il a été compilé à partir du code source le 26 avril et non corrigé.
Bien que le premier représentant public de REvil connu sous le nom d' »Inconnu » soit toujours porté disparu, le chercheur en renseignement sur les menaces FellowSecurity a déclaré au média que l’un des principaux développeurs du groupe de rançongiciels avait relancé l’opération sous un nouveau nom.
À l’heure actuelle, nous ne savons toujours pas à quoi se réfère cette version renommée du groupe de rançongiciels REvil, mais maintenant que REvil est de retour, attendez-vous à voir des attaques plus médiatisées contre des cibles importantes et précieuses dans le monde entier.
Via BleepingComputer