REvil Ransomware

REvil est la poignée couramment utilisée pour un groupe d'acteurs menaçants s'occupant principalement de ransomware. Le même groupe criminel est parfois appelé Sodinokibi, d'après le nom d'une autre souche de ransomware que le groupe utilisait à l'origine.

REvil est une opération privée gérée par des cybercriminels qui exploitent un réseau de ransomware en tant que service. Les parties affiliées peuvent, dans un sens, louer l'infrastructure de serveur de REvil et les charges utiles de ransomware et lancer leurs propres attaques, en partageant tout bénéfice illégal potentiel d'une rançon payée avec le groupe REvil.

Il n'y a aucune preuve tangible sur le pays à partir duquel REvil opère, mais il y a des spéculations que le groupe pourrait être basé en Russie, en raison du fait qu'ils n'ont jamais lancé d'attaque contre des entreprises et des cibles situées en Russie ou dans d'autres pays appartenant au soi-disant ex-bloc soviétique. Il existe également des spéculations selon lesquelles le groupe REvil est en quelque sorte lié au groupe de menaces DarkSide, car le code du ransomware utilisé par les deux groupes de pirates présente certaines similitudes.

Le groupe REvil est dans le collimateur de la communauté infosec depuis fin 2019, avec des attaques et une activité importantes reprenant en 2020.

Attaques passées notables attribuées à REvil

Les attaques les plus notables exécutées par REvil dans le passé incluent l'attaque contre Quanta Computers, un fabricant de matériel informatique basé à Taïwan. REvil a volé des plans et de la documentation relatifs aux prochains produits Apple lors de l'attaque.

Il y a un peu plus d'un mois, REvil était également à l'origine de l'énorme travail de ransomware sur JBS USA Holdings - le plus grand fournisseur de viande fraîche aux États-Unis. L'attaque a culminé lorsque JBS a versé 11 millions de dollars aux pirates pour obtenir un outil de décryptage et restaurer leurs réseaux en état de fonctionnement normal.

En juin 2021, REvil a également assumé la responsabilité de l'attaque de ransomware signalée par la société américaine d'équipement de production d'électricité.

Nouveaux efforts d'attaque lancés par les pirates de REvil Ransomware ciblant des centaines d'entreprises pendant les vacances du 4 juillet

Une cybercampagne impliquant le ransomware REvil a commencé à cibler les entreprises en Amérique du Nord au cours du week-end du 4 juillet. Dans cette attaque particulière, connue sous le nom d'attaque de la chaîne d'approvisionnement, REvil a utilisé un logiciel de bureau à distance tiers développé par la société de support informatique Kaseya, pour répartir sa charge utile vers d'autres entreprises.

La société a déclaré que son logiciel à distance était utilisé pour diffuser REvil à des victimes sans méfiance. Les rapports indiquent qu'au moins 200 entreprises américaines ont été touchées ainsi que 40 entreprises internationales.

L'attaque REvil Ransomware a été découverte le vendredi 2 juillet après que REvil a utilisé une mise à jour logicielle pour compromettre les services de bureau à distance de Kaseya. En réponse à l'attaque, la société a fermé ses serveurs SaaS pour protéger les données des clients et les a exhortés à prendre des mesures de précaution contre le piratage. Cependant, étant donné que l'attaque s'est produite juste au début des vacances du 4 juillet, il est probable que les réponses à la menace des entreprises concernées seront retardées.