A priori, il ne s'agissait pas d'un sabordage volontaire pour disparaître ou pour escroquer des affiliés en ne les payant pas sur la base des rançons obtenues. Selon Reuters, le groupe de ransomware REvil a été victime d'une opération de piratage menée par plusieurs pays.
D'après des sources proches du dossier citées par l'agence de presse, le FBI a agi en collaboration avec la cyberarmée américaine et les services secrets, ainsi que les forces de l'ordre d'autres pays pour pénétrer l'infrastructure de REvil et obtenir le contrôle de certains de leurs serveurs.
REvil avait connu un premier coup d'arrêt estival, alors qu'un déchiffreur universel pour des attaques avec le ransomware avait mystérieusement fait son apparition et attribué à un partenaire chez les forces de l'ordre. L'infrastructure du groupe a toutefois refait surface en septembre.
Ce retour a eu lieu avec l'aide d'un opérateur de REvil connu en tant que 0_neday qui a récemment fait part sur un forum de hacking fréquenté par des cybercriminels de la compromission de serveurs par un tiers non identifié. " Le serveur a été compromis et ils me cherchent. Bonne chance ; je me retire. "
Des sauvegardes aussi compromises...
0_neday a notamment évoqué l'obtention par cette personne des clés privées des services cachés Tor du groupe REvil et avec un accès aux sauvegardes de l'infrastructure. Ces sauvegardes avaient été utilisées pour redémarrer les activités de REvil.
" Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en partant du principe qu'elles n'avaient pas été compromises. Ironiquement, la tactique favorite du gang qui consiste à compromettre les sauvegardes s'est retournée contre lui ", commente Oleg Skulkin de la société de cybersécurité russe Group-IB.
L'opération visant REvil serait toujours en cours. Rappelons que le groupe REvil est souvent présenté comme russophone.
