On en sait un peu plus sur la disparition forcée du gang derrière le ransomware Revil (aussi connu sous le nom de Sodinokibi) annoncée cette semaine. Elle serait, selon Reuters qui cite des sources proches du dossier, l’œuvre d’une coalition de plusieurs états avec comme chef de file les Etats-Unis (le FBI, le Cyber Commandement américain et le Secret Service). Cette opération conjointe a été menée en deux temps. La première a eu lieu en juillet juste après l’affaire Kaseya, où le gang avait revendiqué le piratage de plusieurs entreprises via une faille non encore corrigée dans l’outil d’administration des infrastructures IT VSA. Le groupe réclamait alors une rançon globale de 70 millions de dollars.
Quelques temps après, Revil avait disparu des radars et un déchiffreur universel pour les victimes du piratage de Kaseya avait été publié. L’origine de ce précieux sésame a été dévoilée quelques semaines plus tard : une opération du FBI (le bureau fédéral avait gardé pendant 3 semaines le déchiffreur pour mener à bien son action). Puis au début septembre, des membres de Revil ont réactivé les serveurs du gang pour reprendre leur néfaste activité.
Pris à leur propre piège
Mais le hic comme l’a indiqué à Reuters, Oleg Skulkin, directeur adjoint du laboratoire forensique de la société de sécurité russe Group-IB, « le groupe de ransomware Revil a restauré les infrastructures à partir de sauvegarde en partant du principe qu’elles n’avaient pas été compromises ». Et d’ajouter « ironiquement, la tactique favorite du gang qui vise à s’attaquer aux sauvegardes s’est retournée contre lui ».
En début de semaine, le gang a de nouveau cessé ses activités après la prise de contrôle du portail de paiement Tor et du blog sur les fuites de données du groupe. Un de ses membres a indiqué dans un forum qu’un tiers non identifié avait compromis un serveur en se servant des clés privés d’un ancien acteur du gang, nommé « Unknow ». Avant de disparaître, ce membre a demandé aux affiliés de le contacter pour obtenir les clés de déchiffrement des campagnes de ransomware, via Tox (un protocole réseau ouvert de messagerie instantanée, voix sur IP et visioconférence). Cette affaire montre que la guerre contre les ransomwares peut gagner quelques batailles si la coopération internationale fonctionne.