Les serveurs du ransomware REvil reviennent mystérieusement en ligne

0

Les serveurs Web de l’opération de ransomware REvil se sont soudainement remis en ligne après une absence de près de deux mois. On ne sait pas si cela marque le retour de leur gang de ransomware ou si les serveurs sont activés par les forces de l’ordre.

Le 2 juillet, le gang de ransomware REvil, alias Sodinokibi, a utilisé une vulnérabilité zero-day dans le logiciel de gestion à distance Kaseya VSA pour chiffrer environ 60 fournisseurs de services gérés (MSP) et plus de 1 500 de leurs clients commerciaux.

REvil a ensuite demandé 5 millions de dollars aux MSP pour un déchiffreur ou 44 999 dollars pour chaque extension cryptée dans les entreprises individuelles.

Le gang a également demandé 70 millions de dollars pour une clé de décryptage principale pour déchiffrer toutes les victimes de Kaseya, mais a rapidement baissé le prix à 50 millions de dollars.

Après l’attaque, le gang de ransomware a fait face à une pression croissante de la part des forces de l’ordre et de la Maison Blanche, qui ont averti que les États-Unis prendraient eux-mêmes des mesures si la Russie n’agissait pas contre les pirates informatiques dans leurs frontières.

Peu de temps après, le gang de ransomware REvil a disparu et tous leurs serveurs et infrastructures Tor ont été fermés.

À ce jour, on ne sait pas ce qui s’est passé, mais cela a laissé les victimes de ransomwares qui souhaitaient négocier incapables de le faire et sans la possibilité de restaurer des fichiers.

Mystérieusement, Kaseya a ensuite reçu la clé de déchiffrement principale des victimes de l’attaque et a déclaré qu’elle provenait d’un tiers de confiance. On pense que les services secrets russes ont reçu la clé de déchiffrement des pirates informatiques et l’ont transmise au FBI en signe de bonne volonté.

L’infrastructure REvil se réactive soudainement

Le site de paiement/négociation Tor et le site de fuite de données Tor ‘Happy Blog’ de REvil sont soudainement revenus en ligne.

La victime la plus récente sur le site de fuite de données de REvil a été ajoutée le 8 juillet 2021, cinq jours seulement avant la mystérieuse disparition de REvil.

happy blog revil
Site de fuite de données Happy Blog de REvil

Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel. Bien qu’il affiche l’écran de connexion, comme indiqué ci-dessous, il ne permet pas aux victimes de se connecter au site.

REvil
Site de négociation Tor de REvil

Le site http://decoder.re/ du gang est toujours hors ligne pour le moment.

Il n’est pas clair pour le moment si le gang de ransomware est de nouveau opérationnel, si les serveurs ont été rallumés par erreur ou si cela est dû aux actions des forces de l’ordre.

Laisser un commentaire