REvil

Informations
Première version	Avril 2019^[1]
Système d'exploitation	Microsoft Windows

REvil, connu aussi sous le nom de Sodinokibi, est un logiciel malveillant de type rançongiciel et par extension le groupe de hackeurs qui en est à l'origine.

Son nom est un mot-valise, résultat de la contraction de Ransomware et de Evil. Le modèle économique est celui du Ransomware as a service (RaaS) ou « rançongiciel en location ».

Présentation[modifier | modifier le code]

Il est apparu pour la première fois en avril 2019. Il pourrait être opéré par l'ancien groupe GrandCrab, dont la disparition coïncide avec cette date. Selon IBM Security X-Force, au cours de l'année 2020, REvil / Sodinokibi est le rançongiciel le plus souvent impliqué dans des attaques^[2]. Celles-ci consistent non seulement à chiffrer les données que la victime ne peut recouvrer que contre une rançon, mais en plus, les cybercriminels exercent un chantage à la diffusion de ces données.

Parmi les victimes de ces extorsions, on compte le groupe pharmaceutique Pierre Fabre^[3], probablement la société d'informatique taïwanaise Acer^[4] et le fabricant d'ordinateurs portables Quanta. Cette dernière compte parmi ses clients la société Apple, que les opérateurs essaient d'extorquer^[5].

En mai 2021, la cyberattaque de Colonial Pipeline aux États-Unis est attribuée au groupe Darkside^[6], soupçonné d'être affilié à REvil.

L'attaque contre le groupe agro-alimentaire JBS en 2021 a été attribuée par le FBI au groupe russe REvil/Sodinokibi^[7].

Début juillet 2021, l'attaque contre la société Kaseya, attribuée au groupe REvil, a été décrite comme particulièrement sophistiquée^[8].

Le vecteur d'infection principal est un courriel d'hameçonnage (phishing) qui invite à télécharger un fichier compressé^[9], mais d'autres techniques ont été utilisées (ainsi en juin 2021 une vulnérabilité de logiciels de la société Kaseya)^[10].

Plusieurs éléments indiquent une origine russe de ce logiciel malveillant : le programme a pour instruction de suspendre son activité s'il détecte que la langue du système est le russe^[11], et il est en vente sur des forums russophones^[12]. Le gouvernement américain ayant mis en demeure le président russe Vladimir Poutine de faire cesser ces cyberattaques, l'activité de REvil a aussitôt été suspendue, ce qui accrédite encore un peu plus l'implication de cybercriminels russes^[13].

En octobre 2021, les activités du groupe semblent avoir été compromises de façon décisive à la suite d'une opération internationale^[14].

Le FSB annonce en janvier 2022 avoir démantelé le réseau^[15].

Des chercheurs en sécurité ont trouvé en octobre 2022 des concordances dans le code source du malware d'encryptage utilisé par Revil et celui utilisé par un nouveau groupe de hackers baptisé Ransom Cartel. Il y a aussi des similarités dans les procédures utilisées par le nouveau groupe. Les chercheurs en sécurité en ont conclu qu'il s'agit d'une possible renaissance du groupe Revil sous un autre nom avec une partie des membres du groupe initial^[16].

En juin 2023, une coalition de plusieurs groupes de hackers pro-russes (REvil, Killnet et Anonymous Sudan) annonce une attaque imminente contre le système Swift. Certains analystes penchent pour un coup de com plutôt que comme étant une véritable menace. Le fait que le groupe Revil réapparaisse sur le devant de la scène est troublant dans la mesure où il a été officiellement démantelé^[17]^,^[18].

Références[modifier | modifier le code]

↑ « https://www.lemondeinformatique.fr/actualites/lire-revil-decryptage-du-plus-terrible-des-ransomware-81071.html »
↑ Lucian Constantin, « REvil : décryptage du plus terrible des ransomwares », Le Monde informatique,‎ 22 novembre 2020 (lire en ligne)
↑ Louis Adam, « Pierre Fabre : Le groupe Revil revendique l’attaque », sur ZDnet, 14 avril 2021 (consulté le 23 avril 2021)
↑ Damien Bancal, « Le géant de l’informatique ACER aux prises avec des pirates informatiques », sur ZATAZ, 18 mars 2021 (consulté le 23 avril 2021)
↑ Damien Bancal, « Sodinokibi propose à APPLE de lui racheter des informations volées concernant ses prochains ordinateurs », sur ZATAZ, 21 avril 2021 (consulté le 23 avril 2021)
↑ « Colonial Pipeline, géant américain des oléoducs, toujours en partie paralysé par une cyberattaque », sur France 24, 10 mai 2021 (consulté le 17 janvier 2022)
↑ François Manens, « Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel », Numerama,‎ 3 juin 2021 (lire en ligne)
↑ « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde.fr,‎ 5 juillet 2021 (lire en ligne, consulté le 5 juillet 2021)
↑ « Une analyse de Sodinikibi: Le ransomware as a service persistant », sur Panda Security, 5 août 2020 (consulté le 23 avril 2021)
↑ Florian Reynaud, « Comment des pirates ont paralysé des centaines d’entreprises dans le monde en quelques heures », Le Monde.fr,‎ 5 juillet 2021 (lire en ligne, consulté le 5 juillet 2021)
↑ Denis Legazo, « Attaque REvil sur Apple - Commentaire de Kaspersky », sur Glabal Security Mag, avril 2021 (consulté le 23 avril 2021)
↑ ANSSI, État de la menace rançongiciel, 1^er mars 2021 (lire en ligne), p. 26
↑ « Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden », sur Developpez.com, 14 juillet 2021 (consulté le 29 juillet 2021)
↑ Edward Back, « Le gang de hackers REvil a été mis hors d’état de nuire », sur Futura (consulté le 26 octobre 2021)
↑ Fin de partie pour REvil, célèbre groupe cybercriminel spécialisé dans le ransomware, 01.net, 14 janvier 2022, Gilbert Kallenborn
↑ (en) Bill Toulas, « Ransom Cartel linked to notorious REvil ransomware operation », Bleeping Computer, 18 octobre 2022 (consulté le 22 octobre 2022)
↑ Théo Janvier, « Une coalition de cybercriminels russes menace de paralyser le système bancaire occidental » , Journal du Net, 15 juin 2023 (consulté le 15 juin 2023)
↑ Noa Jacquet, « Faire tomber le système bancaire européen, le nouveau coup de bluff des hackers pro-Russes » , La Tribune, 16 juin 2023 (consulté le 16 juin 2023)

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

[wikidata-31d7e927d0e985b1f901a089a106a13b5c899488-1] « https://www.lemondeinformatique.fr/actualites/lire-revil-decryptage-du-plus-terrible-des-ransomware-81071.html »

[2] Lucian Constantin, « REvil : décryptage du plus terrible des ransomwares », Le Monde informatique,‎ 22 novembre 2020 (lire en ligne)

[3] Louis Adam, « Pierre Fabre : Le groupe Revil revendique l’attaque », sur ZDnet, 14 avril 2021 (consulté le 23 avril 2021)

[4] Damien Bancal, « Le géant de l’informatique ACER aux prises avec des pirates informatiques », sur ZATAZ, 18 mars 2021 (consulté le 23 avril 2021)

[5] Damien Bancal, « Sodinokibi propose à APPLE de lui racheter des informations volées concernant ses prochains ordinateurs », sur ZATAZ, 21 avril 2021 (consulté le 23 avril 2021)

[6] « Colonial Pipeline, géant américain des oléoducs, toujours en partie paralysé par une cyberattaque », sur France 24, 10 mai 2021 (consulté le 17 janvier 2022)

[7] François Manens, « Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel », Numerama,‎ 3 juin 2021 (lire en ligne)

[8] « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde.fr,‎ 5 juillet 2021 (lire en ligne, consulté le 5 juillet 2021)

[9] « Une analyse de Sodinikibi: Le ransomware as a service persistant », sur Panda Security, 5 août 2020 (consulté le 23 avril 2021)

[10] Florian Reynaud, « Comment des pirates ont paralysé des centaines d’entreprises dans le monde en quelques heures », Le Monde.fr,‎ 5 juillet 2021 (lire en ligne, consulté le 5 juillet 2021)

[11] Denis Legazo, « Attaque REvil sur Apple - Commentaire de Kaspersky », sur Glabal Security Mag, avril 2021 (consulté le 23 avril 2021)

[12] ANSSI, État de la menace rançongiciel, 1^er mars 2021 (lire en ligne), p. 26

[13] « Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden », sur Developpez.com, 14 juillet 2021 (consulté le 29 juillet 2021)

[14] Edward Back, « Le gang de hackers REvil a été mis hors d’état de nuire », sur Futura (consulté le 26 octobre 2021)

[15] Fin de partie pour REvil, célèbre groupe cybercriminel spécialisé dans le ransomware, 01.net, 14 janvier 2022, Gilbert Kallenborn

[16] (en) Bill Toulas, « Ransom Cartel linked to notorious REvil ransomware operation », Bleeping Computer, 18 octobre 2022 (consulté le 22 octobre 2022)

[17] Théo Janvier, « Une coalition de cybercriminels russes menace de paralyser le système bancaire occidental » , Journal du Net, 15 juin 2023 (consulté le 15 juin 2023)

[18] Noa Jacquet, « Faire tomber le système bancaire européen, le nouveau coup de bluff des hackers pro-Russes » , La Tribune, 16 juin 2023 (consulté le 16 juin 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]