En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Cyberattaque contre JBS : Les expertises de Cybereason et Check Point

Publication: Juin 2021

Partagez sur
 
REvil est l’une des familles de ransomware les plus en vue, exploitée par le groupe russophone REvil, responsable de dizaines de brèches majeures depuis 2019...
 

Selon Check Point, l’un des facteurs clés du succès du groupe REvil est son utilisation de la technique de double extorsion, ainsi que sa collaboration avec des pirates affiliés : il s’associe à des attaquants avancés, chargés d’ouvrir des brèches dans de nouvelles cibles, d’exfiltrer des données et de chiffrer le réseau. Le groupe REvil fournit à son tour aux affiliés le ransomware lui-même, le site de diffusion et tout ce qui concerne l’argent, de la négociation au paiement.

À plus grande échelle, le groupe REvil a annoncé le 20 février 2021 qu’il avait ajouté deux étapes à son programme de double extorsion : des attaques DDoS et des appels téléphoniques aux partenaires commerciaux et aux médias en relation avec la victime. Le groupe propose désormais des attaques DDoS et des appels VOIP brouillés aux collaborateurs de l’organisation et aux journalistes, en tant que service gratuit pour ses affiliés. Le but est d’exercer une pression supplémentaire sur l’entreprise victime pour qu’elle réponde aux demandes de rançon dans le délai imparti.

En avril 2021, REvil a même démontré l’utilisation de la technique de triple extorsion : le groupe a réussi à pénétrer dans Quanta Computer, un important fabricant d’origine-design (ODM) pour ordinateurs portables basé à Taïwan et l’un des partenaires commerciaux d’Apple. À la suite de l’attaque par ransomware, un paiement de près de 50 millions de dollars a été exigé du fabricant, accompagné d’un avertissement selon lequel la somme serait doublée si elle n’était pas payée dans les délais. L’entreprise ayant refusé de communiquer avec les cyberattaquants, ces derniers sont passés à l’extorsion directe auprès d’Apple, lui demandant de racheter les plans de ses produits trouvés sur le réseau de Quanta Computer. Environ une semaine plus tard, REvil a curieusement retiré les dessins d’Apple de son site officiel consacré aux fuites de données.

À la suite de l’attaque par ransomware de DarkSide contre Colonial Pipeline et de la pression internationale des forces de l’ordre qui s’en est suivie, les principales communautés russes clandestines ont interdit toute promotion future de projets affiliés à des ransomwares similaires à REvil. Il faudra attendre pour voir comment vont se dérouler les opérations de ransomware telles que celles de REvil à l’avenir.

Il convient de mentionner qu’il existe un post du groupe REvil datant de juillet 2019 sur des forums russes clandestins, énonçant les règles à suivre lors de leurs attaques, l’une d’entre elles étant :

« Il est interdit de cibler les pays de la CEI (y compris l’Ukraine). »

suit le groupe REvil depuis 2019. D’après leurs informations, il s’agit du plus grand syndicat criminel de ransomware au monde, notamment responsable d’une demande de rançon de 50 millions de dollars à Acer en mars 2021 et de l’immobilisation de Travelex à deux reprises au cours des 15 derniers mois. Ce cartel de hackers russophones est également celui qui possède la plus grande part de marché du ransomware en tant que principal service, concept que l’on nomme en anglais « Ransomware as a Service ».

Également connu sous le nom de Sodinokibi, REvil a évolué à partir d’un groupe d’attaquants ransomwares appelé GandCrab, groupe qui dominait déjà le marché. Ces hackers font partie des pionniers du Ransomware as a Service.

Après que le groupe ait menacé de divulguer des informations sur l’ancien président américain Donald Trump, le FBI a déclaré que REvil devait être considéré comme une organisation terroriste.

Pratiquant le « Big Game hunting » (la chasse aux entreprises renommées, ou « chasse au gros gibier »), les membres de REvil ont gagné plus de 100 millions de dollars en 2020 grâce à leurs opérateurs de ransomware. Avec 60 % de ses cibles basées aux États-Unis, le groupe s’attaque principalement au secteur de la production industrielle et aux services professionnels.

En réaction au retrait présumé de DarkSide, le groupe REvil prétend vouloir suivre la même philosophie de Robin des Bois que ce dernier : pas de piratage d’ONG, d’organisations caritatives ou d’hôpitaux.

https://www.checkpoint.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: