Les propagateurs du rançongiciel REvil renoncent (de nouveau) à leurs opérations maintenant que leur portail de paiement, leurs serveurs et leurs sites ont été eux-mêmes piratés.
REvil avait l’année dernière introduit son ransomware dans différentes grandes entreprises. Après avoir lancé une attaque contre l’éditeur de logiciels Kaseya cet été, les sites de la bande au rançongiciel avaient déjà été mis à l’arrêt. A présent, il semble que ce soit de nouveau le cas, cette fois cependant parce que la bande en question a été elle-même la victime d’un piratage.
Selon Bleeping Computer, 0_neday – un utilisateur proche de la bande – a annoncé sur un forum que tant le portail de paiement Tor que le blog de REvil ont été piratés par des inconnus qui en ont pris le contrôle. Plus tard, la même personne a aussi confirmé que les serveurs de l’organisation avaient été compromis.
Les circonstances sont vagues, mais tout simple indiquer que quelqu’un a pu mettre la main sur les clés privées des sites et démarrer ainsi le même service sur un autre serveur. 0_neday suggère que l’auteur ait essayé de détecter ou de pirater lui-même la bande REvil.
Il semble donc que REvil s’interrompt, même si ce n’est pas la première fois. Entre-temps, pas mal de travail a déjà été effectué par des services d’ordre et des firmes de sécurité. C’est ainsi que depuis un petit temps déjà, il existe une clé de décryptage pour REvil. Rien n’exclut évidemment que la bande reprenne ses activités à terme sous une autre appellation et éventuellement avec un autre maliciel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici