Des experts en cybersécurité ont déclaré à Reuters que les forces de l’ordre de plusieurs pays étaient impliquées dans le démantèlement du groupe de ransomware REvil. Celui-ci a été mis hors ligne pour la deuxième fois dimanche.
L’activité avait repris en septembre
Les rumeurs relatives à cette nouvelle disparition du groupe ont dominé les conversations cette semaine. L’expert en sécurité de Recorded Future, Dmitry Smilyanets, a partagé plusieurs messages sur Twitter de « 0_neday », un opérateur connu de REvil, qui expliquait ce qui s’est passé sur le forum cybercriminel XSS. Il affirme que quelqu’un a pris le contrôle du portail de paiement Tor et du site web de diffusion de données volées.
Dans les messages, 0_neday explique que lui et « Unknown » – porte-parole principal du groupe – étaient les deux seuls membres du groupe à posséder les clés du domaine de REvil. « Unknown » a disparu en juillet, laissant les autres membres du groupe supposer qu’il était mort.
Le groupe a repris ses activités en septembre, mais ce week-end, 0_neday a écrit qu’on avait accédé au domaine REvil en utilisant les clés d' »Unknown ».
Les forces de l’ordre ont mis l’infrastructure de REvil hors ligne
Maintenant, Reuters confirme que les forces de l’ordre des Etats-Unis et d’autres pays, aux côtés d’un certain nombre d’experts en cybersécurité, étaient derrière les actions décrites par 0_neday dimanche.
Tom Kellerman, responsable de la stratégie de cybersécurité de VMWare, avec d’autres sources, ont déclaré à Reuters que les gouvernements avaient piraté l’infrastructure de REvil et l’avaient mise hors ligne.
Le FBI et la Maison blanche n’ont pas répondu aux demandes de commentaires.
Des arrestations probables
Jake Williams, directeur technique de BreachQuest, indique à ZDNet que la compromission de REvil est évoquée dans les groupes de discussion de threat intelligence depuis le 17 octobre.
« On savait que les membres du groupe central derrière REvil étaient presque certainement compromis. En remettant en ligne les services cachés de Tor, quelqu’un a démontré qu’il avait les clés privées nécessaires pour le faire. C’était effectivement la fin de REvil, qui avait déjà du mal à attirer des affiliés après que son infrastructure a été mise hors ligne en juillet à la suite de l’attaque Kaseya », détaille-t-il.
Jake Williams remarque qu’il est probable qu’il y ait eu des arrestations. « Le lancement du service caché indique que quelqu’un d’autre possède les clés privées. Bien que les clés aient pu être acquises uniquement par piratage, il est difficile d’imaginer que ce soit le cas étant donné la disparition d’Unknown. La conclusion évidente est qu’il est probable qu’Unknown (ou un proche complice) ait été arrêté. »
Une opération toujours en cours
Le FBI a fait face à des réactions négatives ces dernières semaines : les forces de l’ordre ont révélé qu’ils avaient réussi à obtenir une clé de décryptage universelle pour les centaines de victimes touchées par l’attaque par ransomware contre Kaseya.
Mais les responsables du FBI ont déclaré au Congrès qu’ils avaient refusé de fournir les clés aux victimes pendant des semaines parce qu’ils planifiaient une action multinationale pour démanteler l’infrastructure de REvil. REvil a fini par fermer boutique avant que l’opération ne puisse être entreprise, et le FBI a finalement remis les clés aux victimes, permettant à Bitdefender de créer un décrypteur universel.
Selon Reuters, lorsque le groupe a refait surface en septembre, il a en fait redémarré les serveurs qui étaient sous le contrôle des forces de l’ordre. C’est ce qui a conduit à l’action la plus récente des forces de l’ordre, selon Reuters, qui précise que l’opération est toujours en cours.
Source : ZDNet.com
