Le site du groupe Revil donne des signes de vie
Revil finira-t-il par mourir ? Les autorités russes avaient annoncé quatorze arrestations au mois de janvier concernant des individus suspectés d’avoir été impliqués dans le groupe de ransomware Revil, un des groupes les plus actifs de ces dernières années. Le site web utilisé par le groupe, un site basé sur le réseau Tor connu sous le nom de « Happy Blog » affichait une erreur 404 depuis l’annonce des arrestations.
Mais deux chercheurs en sécurité ont constaté mardi que le site avait fait l’objet de modifications. Celui-ci affiche maintenant une redirection vers un nouveau blog, qui reprend une partie des codes du blog originel de Revil et annonce des victimes d’un groupe de ransomware. Celui-ci reprend à la fois d’anciennes victimes de Revil et annonce de nouvelles organisations touchées par le ransomware.
Comme l’indique Bleeping Computer, le blog est hébergé sur un nouveau nom de domaine, mais l’ancienne URL du site de Revil redirige automatiquement les internautes vers le nouveau site, laissant entendre que les administrateurs du site web du groupe de ransomware ont mis en place cette redirection vers un nouveau site. Pour mettre en place ce type de redirection, il convient en effet d’avoir accès aux clefs privées utilisées pour administrer le nom de domaine. Le nouveau site ne reprend pas exactement le titre ou la maquette de l’ancienne version du blog utilisé par Revil, mais il affiche de nombreuses victimes précédemment revendiquées par Revil ainsi que de nouvelles organisations, comme la société Oil India. Celle-ci a récemment confirmé avoir été victime d’une cyberattaque ayant paralysé ses systèmes.
Selon Bleeping computer, le site propose également une offre de recrutement de nouveaux affiliés, leur offrant d’utiliser « une version améliorée du ransomware Revil » et de partager les rançons obtenues avec les administrateurs du site web.
Reste à savoir qui se cache réellement derrière cette redirection et vers le nouveau site. Sur le sujet, les experts sont partagés. Certains penchent pour une reprise en main du site par d’anciens opérateurs de Revil ayant échappé aux arrestations, tandis que d’autres estiment qu’il s’agit d’un autre groupe cherchant à profiter de la renommée du groupe pour lancer leur activité cybercriminelle.
Fondé en 2019, le groupe Revil, aussi connu sous le nom de Sodinokibi, a été l’un des premiers groupes de ransomware à adopter les techniques de double extorsion et à viser des organisations d’ampleur. Le groupe a notamment revendiqué le piratage de la société Kaseya aux États unis ou le groupe Pierre Fabre en France.
