REvil : l’un des Ransomwares les plus dangereux

Aujourd’hui, en matière de cybercriminalité, les attaques aux rançongiciels ont le vent en poupe.

Marquées principalement par des assauts sur des systèmes d’information et l’exigence de paiement de rançons le plus souvent accompagnée des chantages de divulgation des données confidentielles. L’un des plus célèbre dans le domaine est REvil, un programme malveillant utilisé par un groupe de cybercriminels connu sur le nom de Sodinokibi.

Selon la société de sécurité informatique Coveware, le rançongiciel REvil est distribué principalement :

– A travers des sessions RDP compromises dans 65 % des cas

– Par phishing dans 16 % des cas ;

– Via des vulnérabilités logicielles dans 8 % des cas.

Notons que REvil est un ransomware-as-a-service. Il est utilisé par des cybercriminels qui depuis des années extorquent des sommes colossales à des organisations à travers le monde. Surtout au cours de l’année dernière. « Son nom – contraction de Ransomware Evil – a été inspiré par la série de jeux vidéo – adaptés en films – Resident Evil. » explique Lucian Constantin, CSO.

Cet article va aussi intéresser : Ransomwares : On ne récupère pas les données après avoir payé la rançon

Selon plusieurs sociétés de sécurité informatique, REvil est l’une des menaces les plus répandues dans le cadre des rançongiciels. Ce groupe de cybercriminels se sont illustrés à travers les extorsions et les chantages de divulgation de données.

Le groupe de pirates informatique Sodinokibi opérateur principal du logiciel a commencé ses activités officiellement à partir de 2019. Il a apparu précisément depuis que la cessation d’activité de GandCrab, un autre opérateur de rançongiciel. Au début des activités de REvil, le programme avait été identifié comme étant l’une des souches de GrandCrab. Évidemment plusieurs liens pouvaient être établie entre eux. D’ailleurs un membre de groupe a confirmé que le programme malveillant utilisé mais tu n’as pas quelque chose qui avait été conçu nouvellement. REvil aurait été conçu sur la base de notre programme malveillant qui existe déjà, et acquis par le groupe.

« Les développeurs derrière les opérations RaaS comptent sur d’autres cybercriminels comme étant des « affiliés » pour leur distribuer le ransomware. En fait, les développeurs de ransomwares gagnent entre 20% et 30% des revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d’entreprise et déployer le malware. » explique Lucian Constantin. Plus une opération de rançongiciels réussi, cela est de nature à attirer plus d’affiliés. Et lorsque que les attaques ne fonctionnent pas le nombre d’affiliés diminue et se dirigent vers d’autres groupes. C’est exactement ce qui s’est passé dans le cas de GrandCrab et le groupe Maze récemment, dont les membres ont annoncé leur retraite et les affiliés se sont dirigés vers d’autres groupes de rançongiciels dont Egregor, connue également sous le nom de Sekhmet.

Selon l’équipe de réponse d’IBM Security X-Force, spécialisé dans les réponses en cas d’incident informatique, une attaque de rançongiciels sur 3 implique REvil / Sodinokibi. Le groupe a donc appelé les organisations a fait preuve de plus de prévention face à cette menace persistante. « La souche de ransomware que IBM Security X-Force a vue le plus fréquemment en 2020 est Sodinokibi, un modèle d’attaque de ransomware-as-a-service qui a capitalisé cette année sur les attaques mixtes de ransomware et d’extorsion », déclare les chercheurs d’IBM Security X-Force.

« Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet alors qu’ils n’étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les mobilisations de lutte contre les ransomwares d’IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus habiles à accéder aux réseaux de victimes que d’autres souches de ransomwares. », notent-ils.

Selon ces derniers, le groupe des cybercriminels derrière REvil aurait vers fin avril 2019, un total de 140 organisations dans différents secteurs aussi importants que l’autre. 60 % des victimes de ce groupe de ce groupe de cybercriminels, sont en particulier des entreprises américaines. Près d’un tiers des entreprises touchées par ces pirates informatiques en cédé et payé la rançon. La menace persiste toujours. Et le nombre de victimes en qui ne sont pas déclarés peut-être aussi grand.

Accédez maintenant à un nombre illimité de mot de passe :