Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne de force cette semaine suite à une opération qui a impliqué plusieurs pays, selon trois cyber-experts du secteur privé travaillant avec les États-Unis et un ancien responsable.En juillet, les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles, suscitant de nombreuses spéculations sur le fait que le groupe avait été mis hors ligne. Ce réseau de cybercriminels lié à la Russie a perçu des dizaines de millions de dollars en rançons en échange de la restauration de systèmes informatiques qu'il a piratés.
Les raisons de la disparition de REvil n'ont pas été immédiatement élucidées, mais elle fait suite à une série de piratages très médiatisés par le groupe qui a pris le contrôle d'ordinateurs dans le monde entier. Une disparition qui a eu lieu après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.
Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.
Colonial Pipeline a versé à ces cybercriminels près de 5 millions de dollars en bitcoins suite à une attaque qui les a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Joseph Blount, le PDG de la société, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système.
Intervient alors une coalition internationale
Après avoir été un moment en inactivité, les sites web de REvil ont repris du service. Les opérations avaient été relancées en septembre dernier en utilisant des sauvegardes de l’infrastructure du groupe. « Le site de paiement/négociation de Tor et le site de fuite de données Tor 'Happy Blog' de Revil sont soudainement revenus en ligne », notaient des observateurs le 7 septembre. « Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel ». Un autre site, lié au déchiffrement de fichiers de Revil, était quant à lui toujours hors ligne.
Pourtant, dimanche, le site Web « Happy Blog » du groupe criminel, qui avait été utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'était plus disponible. Si les rumeurs et les spéculations ont alimenté les conversations à ce propos, la réponse à cette « énigme » se trouve dans une opération d'infiltration dans leurs infrastructures menée par les Etats-Unis en lien avec d'autres pays qui a permis de débrancher les activités du gang derrière le ransomware Revil.
Le responsable de la stratégie de cybersécurité de VMWare, Tom Kellermann, a déclaré que les forces de l'ordre et les services de renseignement avaient empêché le groupe de victimiser d'autres entreprises : « Le FBI, en collaboration avec le Cyber ​​Command, les services secrets et des pays aux vues similaires, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes », a déclaré Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. « REvil était en tête de liste. »
"0_neday", un opérateur connu de REvil qui avait aidé à redémarrer les opérations du groupe après un arrêt antérieur, a déclaré que les serveurs de REvil avaient été piratés par une partie anonyme : « Le serveur a été compromis et ils me cherchaient », a écrit 0_neday sur un forum sur la cybercriminalité le week-end, affirmant que quelqu'un a pris le contrôle du portail de paiement Tor et du site Web de diffusion de données volées.
Dans les messages, 0_neday explique que lui et "Unknown", porte-parole principal du groupe, étaient les deux seuls membres du groupe à posséder les clés du domaine de REvil. "Unknown" a disparu en juillet, laissant les autres membres du groupe supposer qu'il était mort.
Le groupe a repris ses activités en septembre, mais ce week-end, 0_neday a écrit que quelqu'un avait eu accès au domaine REvil en utilisant les clés d'"Unknown". « Bonne chance à tous; Je pars », a-t-il déclaré.
« On savait que les membres du groupe central derrière REvil étaient presque certainement compromis. En remettant en ligne les services cachés de Tor, quelqu'un a démontré qu'il avait les clés privées nécessaires pour le faire. C'était effectivement la fin de REvil, qui avait déjà du mal à attirer des affiliés après que son infrastructure ait été mise hors ligne en juillet à la suite de l'attaque Kaseya », a déclaré Williams.
Williams a remarqué qu'il semble probable qu'au moins certaines arrestations aient été impliquées.
« Le lancement du service caché indique que quelqu'un d'autre possède les clés privées. Bien que les clés aient pu être acquises uniquement par piratage, il est difficile d'imaginer que ce soit le cas étant donné la disparition d'Unknown. La conclusion évidente est qu’il est probable qu'Unknown (ou un proche complice) ait été arrêté », a déclaré Williams.
Clé de déchiffrement
Suite à l'attaque de Kaseya, le FBI a obtenu une clé de déchiffrement universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.
Mais les responsables des forces de l'ordre ont choisi de ne pas utiliser la clé pendant des semaines tandis qu'il poursuivait discrètement le personnel de REvil, a reconnu plus tard le FBI devant le Congrès.
Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d'au moins certains de leurs serveurs.
Après la mise hors ligne des sites Web que le groupe de pirates informatiques utilisait pour faire des affaires en juillet, le principal porte-parole du groupe, qui se fait appeler "Unknown", a disparu d'Internet. Lorsque le membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils l'ont fait sans savoir que certains systèmes internes étaient déjà contrôlés par les forces de l'ordre.
« Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises », a déclaré Oleg Skulkin, directeur adjoint du laboratoire forensics de la société de sécurité dirigée par la Russie Group-IB. « Ironiquement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux ».
Les sauvegardes fiables sont l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent être maintenues déconnectées des réseaux principaux ou elles peuvent également être chiffrées par des extorqueurs tels que REvil.
« D'une manière générale, nous entreprenons un effort gouvernemental de ransomware, y compris la perturbation de l'infrastructure et des acteurs des ransomwares, en travaillant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables », a déclaré un porte-parole du Conseil de sécurité nationale de la Maison Blanche.
Une personne familière avec les événements a déclaré qu'un partenaire étranger du gouvernement américain avait mené l'opération de piratage qui a pénétré l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, a déclaré que l'opération était toujours active.
Pour des personnes comme le procureur adjoint des États-Unis Lisa Monaco, les attaques de ransomware contre les infrastructures critiques doivent être traitées comme un problème de sécurité nationale semblable au terrorisme. Aussi, en juin, le procureur général adjoint John Carlin a déclaré que le ministère de la Justice élevait les enquêtes sur les attaques de ransomware à une priorité similaire.
De telles actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, a reconnu Kellermann.
« Avant, vous ne pouviez pas pirater ces forums, et les militaires ne voulaient rien avoir à faire avec ça. Depuis, ils ne prennent plus de gants ».
Et vous ?
L'arroseur arrosé ? Pensez-vous comme Lisa Monaco que les attaques de ransomware contre les infrastructures critiques doivent être traitées comme un problème de sécurité nationale semblable au terrorisme ? Dans quelle mesure ? Quelle lecture faites-vous de cette coopération qui a impliqué le secteur privé mais aussi les forces de l'ordre de plusieurs pays ? 
Envoyé par marsupial
