IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden
Ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi

Le , par Nancy Rey

460PARTAGES

10  0 
Les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles hier, suscitant de nombreuses spéculations sur le fait que le groupe avait été mis hors ligne. Ce réseau de cybercriminels lié à la Russie a perçu des dizaines de millions de dollars en rançons en échange de la restauration de systèmes informatiques qu'il a piratés. Ces dernières semaines, il a revendiqué la responsabilité d'une vaste épidémie de ransomware qui a touché entre 800 et 1 500 entreprises dans le monde. Cette disparition intervient dans un contexte de pression croissante entre les États-Unis et la Russie en matière de cybercriminalité. Bien que l'on ne sache pas encore pourquoi le groupe a disparu, certaines théories circulent sur ce qui a pu lui arriver. Les principales sont les suivantes : ils ont été piratés par un organisme d'application de la loi russe ; ils ont été piratés par un organisme d'application de la loi américain ; ils ont décidé d'entrer dans la clandestinité pour une raison inconnue.


Les sites Web et d'autres infrastructures appartenant à la bande cybercriminelle, qui opère- vraisemblablement depuis l'Europe de l'Est ou la Russie, ont disparu mardi, lorsque des observateurs attentifs du groupe ont constaté qu'ils ne pouvaient pas se connecter à la page Web de REvil répertoriant ses victimes. D'autres ont déclaré ne pas pouvoir se connecter aux sites que REvil utilise pour communiquer avec ses victimes et collecter les rançons. « Tous les sites de REvil sont hors service, y compris les sites de paiement et de fuite de données. Le représentant public du gang des ransomwares, est étrangement silencieux », a tweeté Lawrence Abrams, créateur du blog sur la sécurité informatique BleepingComputer.

Les raisons de la disparition de REvil n'ont pas été immédiatement élucidées, mais elle fait suite à une série de piratages très médiatisés par le groupe qui a pris le contrôle d'ordinateurs dans le monde entier. Elle intervient également après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.

Les rançongiciels verrouillent un réseau informatique, volent et chiffrent des données jusqu'à ce que les victimes acceptent de payer une somme d'argent. Ceux qui refusent peuvent voir leurs informations divulguées en ligne. Ces dernières années, les gangs de rançongiciels se sont attaqués à des hôpitaux, des universités, des services de police, des administrations municipales et à un large éventail d'autres cibles.

Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.

Les spéculations des experts en cybersécurité

La disparition soudaine du groupe a suscité de nombreuses spéculations sur ce qui a pu se passer. Les théories vont d'un arrêt planifié du système à une attaque gouvernementale coordonnée. Mais à ce stade, les experts en sont encore aux suppositions.

« Cette panne pourrait être une maintenance criminelle, un retrait planifié ou, plus probablement, le résultat d'une réponse offensive à l'entreprise criminelle – nous ne savons pas », a déclaré Steve Moore, stratège en chef de la sécurité à la société de cybersécurité Exabeam.

Dmitri Alperovitch, cofondateur de la société de cybersécurité CrowdStrike, a émis l'hypothèse que les gouvernements occidentaux pourraient faire pression sur les sociétés d'infrastructure Internet pour qu'elles ne répondent pas aux demandes des navigateurs Web concernant les sites de REvil.

Drew Schmitt, analyste principal des renseignements sur les menaces chez GuidePoint Security, a averti que si l'impossibilité de se connecter aux sites de REvil peut être un indicateur potentiel de l'implication des forces de l'ordre, elle ne le prouve pas de manière concluante. « La semaine dernière, le site de REvil a également été indisponible pendant un certain temps », a-t-il déclaré.

REvil fait partie des attaquants de ransomware les plus prolifiques, selon la société de cybersécurité CheckPoint. Rien qu'au cours des deux derniers mois, REvil a mené 15 attaques par semaine, a déclaré Ekram Ahmed, porte-parole de CheckPoint. Compte tenu de l'attention qu'il a suscitée, REvil a peut-être volontairement choisi de faire profil bas pendant un certain temps, a ajouté Ahmed. «Nous recommandons de ne pas tirer de conclusions immédiates, car il est encore tôt, mais REvil est, en effet, l'un des gangs de ransomware les plus impitoyables et créatifs que nous ayons jamais vus ».

Anne Neuberger, la plus haute responsable de la Maison Blanche en matière de cybercriminalité, voyageait avec Biden mardi, mais les raisons pour lesquelles elle accompagnait le président à Philadelphie n'étaient pas claires.

Pour le responsable d'une société de cybersécurité, la possibilité que quelqu'un – le gouvernement américain ou autre – ait mis le groupe hors ligne a suscité quelques inquiétudes. « S'il s'agissait d'une cyberoffensive organisée, j'espère que les dommages collatéraux ont été pris en compte », a déclaré Kurtis Minder, fondateur de la société de renseignement sur les menaces GroupSense.

Les criminels à la recherche de ransomwares et leurs victimes sont en quelque sorte codépendants, les mauvais acteurs détenant les clés des données chiffrées de leurs victimes. Si ces clés ont été perdues ou détruites lors d'une cyberattaque, « de nombreuses entreprises et personnes vont avoir du mal à s'en remettre », a-t-il déclaré.

Détruire un ou deux serveurs de cybercriminels n'est pas une mesure qui vaut la peine à long terme, a-t-il ajouté. « REvil est l'un des dizaines d'opérateurs majeurs de ransomware. Allons-nous les attaquer tous ? », a-t-il dit.

Source : Reuters

Et vous ?

À votre avis, la disparition soudaine du groupe Revil est-elle le fait d'un arrêt planifié du système ou alors d’une attaque gouvernementale coordonnée ?

Quelles peuvent être selon vous les répercutions d’une telle disparition ?

Voir aussi :

Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie suite au piratage du géant agroalimentaire JBS

Apple est la cible d'une attaque par ransomware de 50 millions de dollars de la part d'un groupe de pirates russes, qui affirme avoir piraté et volé des plans de nouveaux produits

Le fabricant d'ordinateurs Acer serait victime d'une attaque par rançongiciel, les cybercriminels réclament la somme record de 50 millions de dollars

Le code de la grosse attaque par rançongiciel contre Kaseya a été mis au point pour éviter les ordinateurs qui utilisent la langue russe, selon de récents retours de firmes spécialistes en sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de ormond94470
Membre actif https://www.developpez.com
Le 14/07/2021 à 16:32
Ils ont pris l'argent et disparaissent, on les retrouvera peut être sous un autre nom, entre le challenge et l'argent facile c'est dur de décrocher.
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 25/10/2021 à 10:10
Personnellement ce n'est qu'un avis mais c'est bien joué. Un travail d'équipe empéchant la récidive. Une victoire où il en reste beaucoup à faire.
Edit : admettons que le FBI n'ait pas eu la clé de déchiffrement, comment kaseya et ses clients auraient ils procédé ?
1  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 14/07/2021 à 12:11
En bref : nous ne savons pas, nous ne savons pas, nous ne savons pas. Comme pour beaucoup d'autres choses dans le monde de la cybercriminalité, il n'y a tout simplement pas assez d'informations disponibles publiquement pour comprendre pourquoi cet événement s'est produit. Cependant, si REvil a été piraté par une entité chargée de l'application de la loi, quelque chose me dit que nous aurons une mise à jour de la situation assez rapidement.
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 21/08/2021 à 9:29
Étant donné que cela s'est avéré très lucratif, ils auraient pu simplement se retirer complètement. Les hauts responsables ont probablement assez d'argent à ce stade pour ne pas avoir besoin de continuer ou de travailler en général, ou au moins pour être en mesure de se tourner vers des "affaires légitimes".
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 22/10/2021 à 17:19
Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.
0  0 
Avatar de Demky
Membre habitué https://www.developpez.com
Le 25/10/2021 à 15:15
obtenant ainsi le contrôle d'au moins certains de leurs serveurs

ah ouai, au moins certains, pas mal.
0  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 25/10/2021 à 8:40
Citation Envoyé par marsupial Voir le message
Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.
En tout cas l'histoire commence à être digne d'un film !

Et on insistera jamais assez sur la nécessitée d'avoir des backs up bien sécurisés ! Enfin à ce niveau la je sais même pas ce qu'il faut faire...
0  1 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 22/10/2021 à 16:49
Citation Envoyé par marsupial Voir le message
L'opération reste en cours pour bloquer les éventuelles résurgences et arrêter les coupables. Les militaires s'en mèlent car leur mission est de défendre leur pays.
Je n'en dis pas plus. Je ne répondrais à aucune question sur le sujet
Je sais pourquoi comment et avec qui et quoi.
Bravo à eux. Mais ce n'est que le début.

Edit : ma seule crainte est qu'un gouvernement autoritaire tombe sur les techniques employés.


Oui oui.

Sacré histoire en tout cas !
0  2 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 22/10/2021 à 12:51
L'opération reste en cours pour bloquer les éventuelles résurgences et arrêter les coupables. Les militaires s'en mèlent car leur mission est de défendre leur pays.
Je n'en dis pas plus. Je ne répondrais à aucune question sur le sujet
Je sais pourquoi comment et avec qui et quoi.
Bravo à eux. Mais ce n'est que le début.

Edit : ma seule crainte est qu'un gouvernement autoritaire tombe sur les techniques employés.
0  3