Évolution de REvil Ransomware : Nouvelles Tactiques, Gains Impressionnants et Cibles de Haut Niveau
Table des matières :
Le groupe REvil est derrière l’avalanche d’attaques ciblant les grandes entreprises aux États-Unis, en Europe, en Afrique et en Amérique du Sud. En mars 2021, les opérateurs de ransomware ont revendiqué près d’une douzaine d’intrusions qui ont conduit à la compromission de données sensibles. La liste des victimes inclut des cabinets d’avocats, des entreprises de construction, des banques internationales et des fournisseurs industriels. Selon les reportages, Acer, Asteelflash et Tata Steel font partie de ceux qui ont récemment souffert de l’activité malveillante de REvil.
Qu’est-ce que le ransomware REvil ?
REvil (alias Evil, Sodinokibi) est l’une des souches de ransomware les plus notoires et les plus répandues sur la scène des menaces cybernétiques. Après son apparition en avril 2019, les chercheurs en sécurité ont identifié REvil comme le successeur de GandCrab, avec de nombreuses souches de code partagées entre les deux échantillons de malware.
Actuellement, REvil agit comme une menace de ransomware-as-a-service (RaaS), s’appuyant sur un vaste réseau d’affiliés pour sa distribution. En retour, les développeurs de REvil perçoivent 20 à 30% des recettes en cas d’attaque réussie. Récemment, les mainteneurs de ransomware ont rejoint la tendance lucrative de la double extorsion pour tenter d’augmenter les gains possibles. Désormais, les cybercriminels non seulement encryptent les données sensibles mais volent également des informations confidentielles. En conséquence, malgré la possibilité de restaurer les informations à partir de sauvegardes, les victimes sont poussées à payer la rançon pour prévenir la fuite de données. De plus, pour mettre la pression maximale, les développeurs de REvil contactent les médias et les partenaires commerciaux de la victime pour les informer de l’intrusion en cours.
De telles tactiques d’extorsion entraînent de nombreuses victimes et un montant impressionnant de gains subséquents pour les associés de REvil. Les chercheurs en sécurité estiment que durant l’année 2020, le notoire gang REvil a réussi à gagner plus de 100 millions de dollars lors d’attaques contre environ 150 fournisseurs. Selon l’enquête de l’IBM Security X-Force, 36% des victimes de REvil ont payé la rançon, et 12% des victimes ont vu leurs données sensibles vendues aux enchères sur le dark web entre 2019 et 2020.
Notamment, pour l’année suivante, les mainteneurs du ransomware revendiquent un objectif encore plus ambitieux de 2 milliards de dollars. En route vers leurs objectifs, les adversaires cherchent de nouveaux affiliés pour leur réseau malveillant. Par exemple, le gang a déposé 1 million de dollars sur un forum clandestin russophone.
De plus, pour renforcer les capacités malveillantes de REvil, les développeurs ont récemment ajouté une nouvelle fonctionnalité permettant à la menace de s’exécuter en mode sans échec et de redémarrer les appareils Windows infectés après l’intrusion. Cette innovation permet à REvil d’échapper à la détection par les logiciels antivirus et de continuer avec des infections réussies.
Dernières victimes de REvil
Après son apparition en 2019, le groupe REvil a attaqué des entreprises leaders telles que Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Aéroport International d’Albany, Kenneth Cole, et GEDIA Automotive Group. Mais le gang cybercriminel n’a pas l’intention de réduire ses ambitions. Les déclarations des dernières nouvelles indiquent que trois entreprises supplémentaires ont été victimes de l’activité de REvil.
Au milieu de mars 2021, les mainteneurs de REvil ont attaqué Acer, un important fabricant taïwanais d’électronique et d’ordinateurs. Après l’intrusion réussie, les cybercriminels ont volé des données sensibles et exigé une rançon de 50 millions de dollars pour la décryptage et la prévention des fuites de données.
Un autre incident bruyant a éclaté au début d’avril 2021. Cette fois, REvil a ciblé le producteur d’électronique français Asteelflash, exigeant une rançon de 24 millions de dollars. Bien que l’entreprise n’ait pas officiellement divulgué l’incident, les chercheurs en sécurité ont réussi à découvrir la page de négociation Tor pour cette attaque.
Enfin, les reportages du 6 avril 2021 indiquent que le groupe sidérurgique indien Tata Steel est également devenu une victime de REvil, exigeant une rançon de 4 millions de dollars pour la restauration des données.
Détecter les attaques de ransomware REvil
Pour détecter et prévenir les éventuelles attaques de REvil, vous pouvez télécharger un ensemble de nouvelles règles Sigma publiées par nos développeurs actifs de Threat Bounty.
Campagne de malspam laisse tomber IcedID et conduit au ransomware REvil
Le ransomware REvil a un nouveau mode d’encodage ‘mode sans échec Windows’
Contournement AntiVirus/EDR via le mode sans échec
De plus, vous pouvez explorer la liste complète des détections REvil disponible dans le Threat Detection Marketplace. Restez connecté à notre blog pour ne pas manquer les mises à jour les plus chaudes.
Inscrivez-vous au Threat Detection Marketplace et accédez à la première bibliothèque de contenu SOC contenant plus de 100 000 algorithmes de détection et requêtes de chasse aux menaces pour plus de 23 outils SIEM, EDR et NTDR leaders du marché. Plus de 300 contributeurs enrichissent notre bibliothèque de contenu SOC mondial chaque jour pour permettre la détection continue des menaces cybernétiques les plus alarmantes aux premiers stades du cycle de vie d’une attaque. Envie de créer vos propres règles #Sigma ? Rejoignez notre Programme Threat Bounty pour un avenir plus sûr !
