Plus d’accès à la vitrine REvil via Tor depuis cet après-midi du 13 juillet : le site n’est même plus annoncé. Ici, les opérateurs de la plateforme de ransomware Sodinokibi Service Mode ont montré que les victimes refusaient de céder à leur chantage. La page utilisée pour les négociations et les éventuels paiements de rançon n’est plus accessible au moment de la rédaction. Et cela s’applique via Tor ainsi que directement en texte brut sur Internet. Les deux serveurs qui se chargent de l’administration de la zone DNS du nom de domaine correspondant n’offrent plus de solution à cela. Une adresse IP est pour un hébergeur en Russie et l’autre au Moyen-Orient. Ce qui encourage certains soupçons de disparition volontaire. Il faut dire que le contexte est approprié pour cela.
Le paysage des cybermenaces a radicalement changé et il existe un risque très réel de s’impliquer dans l’activité des États-nations. Cette édition des informations de sécurité vous montre l’évolution de la cybersécurité, de la gestion des vulnérabilités chez Toyota au Danemark.
Récemment une filiale du groupe a lancé une opération à grande échelle : Profiter d’une vulnérabilité dans le service d’administration à distance VSA de Kaseya, il s’en est pris aux clients finaux – estimés entre 800 et 1500 – de nombreux prestataires de services managés, dont le français Keyrus. L’attaquant a affirmé avoir compromis plus d’un million de machines dans le monde et a proposé un paiement global de 70 millions de dollars pour fournir suffisamment de données pour décrypter les données de tous les hôtes concernés.
Cette opération a suivi plusieurs autres qui ont fortement influencé l’opinion publique à travers le Atlantic, dont celui de l’opérateur d’oléoduc Colonial Pipeline et celui du géant agricole et alimentaire JBS. A tel point que le président américain Joe Biden s’est exprimé à plusieurs reprises sur le sujet, même avec son homologue russe Vladimir Poutine. Une réunion bilatérale est prévue le 16 juillet.
Le groupe REvil, à la pointe du ransomware Sodinokibi, et son staff se sont montrés plus agressifs que jamais ces derniers temps. Nous avons trouvé 41 victimes pour juin, un record. C’est environ un tiers de plus qu’en avril. Mais le taux de conversion de ces cyberattaques en paiement semble particulièrement faible depuis le printemps.
La pagination du site vitrine REvil, combinée à la date de divulgation de certaines victimes récalcitrantes, laisse entrevoir environ 160 attaques entre le 1er avril et la mi-avril. Clôture de juin… avec dix versements au mieux.
Avant la disparition de l’infrastructure REvil, plusieurs victimes n’avaient même pas négocié avec leurs bourreaux, dont deux se sont vu demander 10 millions de dollars chacun.
REvil fait le tour du Disappear délibéré, ce ne sera pas une première. Le groupe aurait auparavant commandé le ransomware Gandcrab. Les auteurs de ce dernier avaient annoncé leur disparition au printemps 2019, mieux vaut apparemment revenir quelques mois plus tard.
Si elle se confirmait, la disparition volontaire de REvil/Sodinokibi ne serait pas la première cette année. Les opérateurs d’Avaddon ont fait ce choix il y a un mois, un mois après ceux de DarkSide.
Tous droits réservés,
Copyright 2007-2021, TechTarget
confidentialité
Paramètres des cookies
Keywords:
