Ransomware : le groupe REvil disparaît du Dark Web

Le par Jérôme G.  |  4 commentaire(s)

Y compris sur le Dark Web, les sites du groupe de ransomware REvil répondent aux abonnés absents. Opération des autorités ou sabordage volontaire ? Pas de réponse claire à ce stade.

hacker

Le groupe russophone de ransomware REvil a récemment fait parler de lui avec la cyberattaque ayant touché Kaseya. Avec un modèle économique de Ransomware-as-a-Service, les cyberattaques contre JBS USA ou encore l'assembleur Quanta Computer avec le vol de plans de produits Apple ont également été attribuées cette année à REvil ou des affiliés.

Pour sa communication et pour mener ses opérations, REvil opère via des sites web dont certains sur le Dark Web avec une adresse en .onion pour un accès sur le réseau Tor. Un blog comprend par exemple des informations sur des cyberattaques, tandis que des sites servent aux négociations et au paiement de rançons.

Depuis mardi, c'est toute cette infrastructure de REvil qui s'est évaporée et les sites ont été mis hors ligne. Kaspersky indique par ailleurs qu'un représentant de REvil a été banni d'un forum de communication populaire auprès des cybercriminels.

Pas nécessairement un démantèlement par des autorités

Un tel bannissement pourrait être une précaution vis-à-vis des autres cybercriminels en raison d'une opération menée par des forces de l'ordre et un risque de compromission. Parmi d'autres, c'est une hypothèse évoquée par Bleeping Computer.

revil-site-onion-tor

Néanmoins, la disparition d'internet de REvil pourrait aussi être volontaire comme cela s'est par exemple déjà vu avec le groupe DarkSide. Du moins, le temps de se faire plus discret et avec l'éventualité de revenir plus tard sous une nouvelle identité.

Ce genre de fermeture peut aussi faire écho à une escroquerie de type exit scam dans le but de ne pas avoir à payer des associés.

Le flou demeure pour le moment et pourrait durer. Le président des États-Unis Joe Biden s'est récemment entretenu avec son homologue russe Vladimir Poutine et a évoqué la question des attaques par ransomware perpétrées par des groupes basés en Russie.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
xtrix offline Hors ligne Vétéran avatar 1249 points
Le #2137450
"Ransomware-as-a-Service" est la preuve que tout abonnement cloud coûte cher
jacob13 offline Hors ligne VIP icone 7477 points
Le #2137469
j'adore la localisation du groupe "en russie" comme si Édouard Snowden n'avait jamais existé.
Alléguer une localisation géographique pour une personne informée c'est de la foutaise .
En gros on sait rien sauf que le groupe est au abonné absent.
smalldick offline Hors ligne VIP icone 7886 points
Le #2137481
Ca évite de voir Спецназ débarquer tôt le matin, et de régler le problème (les bavures n'existent pas en Russie)
Le #2137550
smalldick a écrit :

Ca évite de voir Спецназ débarquer tôt le matin, et de régler le problème (les bavures n'existent pas en Russie)


Il y a des circonstances où les bavures ne me gênent pas.
icone Suivre les commentaires
Poster un commentaire