REvil

Un article de Wikipédia, l'encyclopédie libre.
REvil

Informations
Système d'exploitation Microsoft WindowsVoir et modifier les données sur Wikidata

REvil, connu aussi sous le nom de Sodinobiki, est un logiciel malveillant de type rançongiciel.

Son nom est un mot-valise, résultat de la contraction de Ransomware Evil. Le modèle économique est celui du RaaS (Ransomware as a service ou rançongiciel en location).

Il est apparu pour la première fois en avril 2019. On soupçonne qu'il est opéré par l'ancien groupe GrandCrab, dont la disparition coïncide justement avec cette date. Selon IBM Security X-Force, au cours de l'année 2020, REvil / Sodinokibi est le rançongiciel le plus souvent impliqué dans des attaques[1]. Celles-ci consistent non seulement à chiffrer les données que la victime ne peut recouvrer que contre une rançon, mais en plus, les cybercriminels exercent un chantage à la diffusion de ces données.

Parmi les victimes de ces extorsions, on compte le groupe pharmaceutique Pierre Fabre[2], probablement la société d'informatique taïwanaise Acer[3] et le fabricant d'ordinateurs portables Quanta. Cette dernière compte parmi ses clients la société Apple, que les opérateurs essaient d'extorquer[4].

L'attaque contre le groupe agro-alimentaire JBS en 2021 a été attribuée par le FBI au groupe russe REvil/Sodinokibi[5].

Début juillet 2021, l'attaque contre la société Kaseya, attribuée au groupe REvil, a été décrite comme particulièrement sophistiquée[6].

Le vecteur d'infection principal est un courriel d'hameçonnage (phishing) qui invite à télécharger un fichier compressé[7], mais d'autres techniques ont été utilisées (ainsi en juin 2021 une vulnérabilité de logiciels de la société Kaseya[8]).

Plusieurs éléments indiquent une origine russe de ce logiciel malveillant : le programme a pour instruction de suspendre son activité s'il détecte que la langue du système est le russe[9], et il est en vente sur des forums russophones[10]. Le gouvernement américain ayant mis en demeure le président Poutine de faire cesser ces cyberattaques, l'activité de REvil a aussitôt été suspendue, ce qui accrédite encore un peu plus l'implication de cybercriminels russes[11].

Références[modifier | modifier le code]

  1. Lucian Constantin, « REvil : décryptage du plus terrible des ransomwares », Le Monde informatique,‎ (lire en ligne)
  2. Louis Adam, « Pierre Fabre : Le groupe Revil revendique l’attaque », sur ZDnet, (consulté le )
  3. Damien Bancal, « Le géant de l’informatique ACER au prise avec des pirates informatiques », sur ZATAZ, (consulté le )
  4. Damien Bancal, « Sodinokibi propose à APPLE de lui racheter des informations volées concernant ses prochains ordinateurs », sur ZATAZ, (consulté le )
  5. François Manens, « Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel », Numerama,‎ (lire en ligne)
  6. « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde.fr,‎ (lire en ligne, consulté le )
  7. « Une analyse de Sodinikibi: Le ransomware as a service persistant », sur Panda Security, (consulté le )
  8. Florian Reynaud, « Comment des pirates ont paralysé des centaines d’entreprises dans le monde en quelques heures », Le Monde.fr,‎ (lire en ligne, consulté le )
  9. Denis Legazo, « Attaque REvil sur Apple - Commentaire de Kaspersky », sur Glabal Security Mag, (consulté le )
  10. ANSSI, État de la menace rançongiciel, (lire en ligne), p. 26
  11. « Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden », sur Developpez.com, (consulté le )