REvil : le ransomware russe le plus dangereux au monde
Sélectionnez un chapitre
REvil, également connu sous le nom de Sodinokibi, est l’un des ransomwares les plus redoutés au monde. Ce RaaS, pour Ransomware-as-a-service, est apparu en 2019. Depuis, entreprises et organisations à travers le monde craignent d’être sa prochaine victime et de voir leurs informations confidentielles divulguées au grand jour. Le seul moyen pour s’en prémunir une fois infecté : payer une rançon, et les hackers derrière REvil savent mettre en avant les bons arguments pour vous convaincre de vous en acquitter…
Dans cet article, découvrez ce qui rend le rançongiciel REvil (pour Ransomware Evil) si dangereux. Bonne lecture !
Qu'est-ce que le virus Sodinokibi (REvil) ?
Le virus Sodinokibi, aussi connu sous le nom de REvil pour Ransomware Evil, est un rançongiciel apparu en 2019. Développé par un groupe de hackers russes éponyme, il chiffre les données des ordinateurs infectés et exige une rançon pour obtenir la clé de déchiffrement. Mais les cybercriminels, avides, ne s’arrêtent pas là. Ils menacent leurs victimes de divulguer les informations volées si celles-ci ne payent pas. Cette stratégie leur permet d’obtenir plus facilement le paiement de la rançon, mais également d’en demander une nouvelle après que les données aient été récupérées.
REvil est également un RaaS, ou Ransomware-as-a-Service. Cela lui a permis d’obtenir une diffusion importante et de causer de nombreux dégâts, lui offrant une place de choix parmi les cyberattaques les plus célèbres de l’histoire.
Qui est le groupe de hackers derrière le ransomware REvil ?
Le groupe de hackers REvil, ou Sodinokibi, est un groupe de cybercriminels basé en Russie qui aurait été en partie démantelé en 2022. À cause de la similarité de leur mode opératoire, certains estiment que REvil pourrait avoir été fondé par des membres de GandCrab, un groupe de pirate rendu célèbre par ses extorsions, mais surtout par sa disparition subite après seulement un an d'existence et d’essor.
Comment fonctionne le ransomware REvil ?
Le fonctionnement du ransomware REvil est similaire à celui d’autres rançongiciels comme Ryuk ou Locky. On peut découper son mode d’action en plusieurs étapes clés :
- Infection initiale le plus souvent via phishing, emails piégés, attaque de serveurs, ou exploitation de vulnérabilités des systèmes non mis à jour.
- Initialisation du ransomware qui commence à exploiter les vulnérabilités du système infecté pour modifier les autorisations et obtenir le rôle d’administrateur.
- Chiffrement des fichiers et génération des clés de déchiffrement.
- Suppression des sauvegardes sur les ordinateurs infectés pour empêcher leur récupération.
- Ajout d’un fichier de demande de rançon dans tous les dossiers contenant des documents chiffrés. Cette note contient les instructions pour que les victimes puissent s’en acquitter.
- En cas de paiement, les victimes obtiennent la clé de déchiffrement. En cas de non-paiement, REvil menace de divulguer leurs données sur leur blog.
- Même en cas de paiement initial de la rançon, le groupe Sodinokibi est connu pour son système de double extorsion. Plusieurs mois après la récupération des données, une nouvelle demande de rançon peut ainsi être envoyée aux victimes, les menaçant de divulguer leurs données volées si elles ne la paient pas.
Comment le ransomware REvil se diffuse-t-il ?
Le Ransomware-as-a-Service (RaaS), un système d’affiliation pour propager le virus plus rapidement
Plus qu’un rançongiciel, Sodinokibi est un RaaS, ou Ransomware-as-a-Service. Ses créateurs le mettent à disposition d’autres cybercriminels, des affiliés, qui se chargent de diffuser le logiciel malveillant. En échange, ils partagent une partie des rançons collectées avec les créateurs de REvil.
Les vecteurs de diffusion de REvil vers les victimes
Puisqu’il s’agit d’un RaaS, il y a presque autant de techniques de diffusions de REvil qu’il y a d’affiliés au rançongiciel. Certains moyens sont néanmoins privilégiés :
- Campagnes de phishing avec l’envoi d’emails aux pièces jointes piégées, souvent déguisées en feuilles de calcul, factures ou documents.
- Autres techniques d’ingénierie sociale pour inciter les utilisateurs à télécharger des fichiers infectés par REvil.
- Exploitation des vulnérabilités et des failles de sécurité dans les logiciels non mis à jour, ce qui peut permettre aux pirates d'installer le ransomware à distance.
- Accès aux systèmes victimes via des informations d’identification RDP (Remote Desktop Protocol) obtenues soit par des attaques par force brute, soit via des bases de données d'identifiants volés.
Qu'est-ce que la double rançon du virus REvil ?
Pour maximiser la collecte de rançons, les hackers diffusant REvil utilisent une stratégie de double menace :
- Menace sur la perte des données, irrécupérables sans la clé de déchiffrement.
- Menace sur la divulgation publique des données volées, ce qui pourrait nuire à la crédibilité et à la réputation des organisations victimes et impacter leurs finances.
Même après paiement d’une première rançon pour récupérer la clé de déchiffrement, certaines victimes auraient été menacées une nouvelle fois, parfois plusieurs mois plus tard. Une nouvelle rançon leur aurait été demandée pour empêcher la divulgation d’informations confidentielles volées pendant l’attaque.
Quelles sont les victimes les plus célèbres de l'attaque REvil ?
- Kaseya (2021) : Les hackers ont utilisé l’une des vulnérabilités de la plateforme de gestion Kaseya, une vulnérabilité qui aurait pu être découverte et corrigée si des tests d’intrusion avaient été réalisés en interne, pour s’attaquer à plus de 1500 entreprises à travers le monde. Une rançon record de 70 millions de dollars a été exigée pour obtenir une clé de déchiffrement universelle.
- JBS (2021) : Les opérations de ce producteur de viande, l’un des plus gros au monde, ont été perturbées aux États-Unis et en Australie. Il a dû payer une rançon de 11 millions de dollars pour récupérer ses données.
- Acer (2021) : Moins de 48 heures après la publication de ses très bons résultats financiers, le célèbre fabricant d’ordinateurs est attaqué. Une rançon de 50 millions de dollars lui a ensuite été demandée.
Le groupe de hackers REvil a-t-il été arrêté ?
La collaboration internationale a joué un rôle essentiel dans le démantèlement du groupe REvil.
En 2021, l’arrestation de cinq suspects liés au groupe de hackers a été rendue possible grâce aux actions concertées de 17 pays. Les forces de l'ordre, en collaboration avec des experts en cybersécurité, ont également pu perturber l'infrastructure du groupe, rendant inaccessibles leurs sites de paiement et de divulgation de données.
Il faut attendre 2022 pour que les autorités russes annoncent avoir démantelé le groupe et arrêté plusieurs de ses membres clés, sans pour autant révéler leur identité. Cela a notamment été permis par l’étroite collaboration entre les États-Unis et le FSB (les services secrets russes).
Conclusion : Pourquoi le virus REvil est-il encore une menace aujourd'hui ?
Si ce démantèlement a signé une victoire significative, il ne signifie pas pour autant la fin des menaces. Le modèle de Ransoware-as-a-Service rend difficile l'éradication du code d’origine de REvil. L’analyse de plusieurs ransomwares utilisés ces dernières années a ainsi permis de mettre en lumière des similitudes importantes entre leurs codes et celui du virus Sodinokibi. Des variantes sont donc toujours développées et mises en circulation. REvil et ses successeurs continuent de représenter une menace significative pour les organisations à travers le monde, notamment pour celles qui ne disposent pas d’équipes de cybersécurité.
Questions fréquentes à propos du ransomware REvil :
Comment se débarrasser du virus REvil sans payer la rançon ?
Des solutions ont vu le jour pour vous permettre de vous débarrasser de REvil sans avoir à payer de rançon :
- Utilisation de décrypteurs, des outils gratuits qui vous permettent de vous débarrasser de certaines versions du virus et de déchiffrer vos données.
- Restauration de sauvegardes, notamment lorsqu’elles sont stockées sur un périphérique externe non touché par l’attaque, comme un disque dur externe.
- Recours à des consultants en cybersécurité pour nettoyer les ordinateurs infectés et renforcer les mesures de défense informatique de votre organisation.
Qu'est-ce qui fait de REvil l'un des ransomwares les plus redoutés au monde ?
Plusieurs facteurs font de REvil l’un des ransomwares les plus redoutés au monde :
- La complexité de son code, souvent déguisé ou chiffré, rend sa détection très difficile pour les antivirus.
- Sa stratégie de double extorsion, qui ajoute une pression supplémentaire aux victimes et permet d’augmenter la somme moyenne de la rançon.
- Une fois les fichiers chiffrés, il est extrêmement difficile de les récupérer sans la clé de déchiffrement fournie par les pirates, surtout pour les variantes les plus récentes du virus.
- Le modèle de Ransomware-as-a-Service rend sa propagation très rapide, et il est ainsi difficile d’arrêter sa propagation.