REvil a doublé des collègues-criminels

Els Bellens

La bande au rançongiciel REvil aurait prévu des portes dérobées dans son propre software pour lui permettre de négocier aussi avec des victimes.

On ne peut se fier aux cybercriminels. C’est normal, nous direz-vous, mais c’est affolant pour quelques bandes qui ont collaboré avec les développeurs du rançongiciel (ransomware) REvil. Le gang au rançongiciel aurait n effet installé des portes dérobées dans son propre software pour mener de son côté des négociations de paiement de rançon et empocher de l’argent.

Une fonction dans le logiciel leur permettrait même de décrypter n’importe quel système bloqué par le rançongiciel REvil. Voilà ce qui ressort de messages postés sur des forums par des gens qui collaborent avec la bande. Ces rumeurs sont du reste confirmées par des chercheurs en sécurité, selon le site technologique BleepingComputer.

Modèle d’affaires

REvil est le rançongiciel qui fut utilisé notamment dans l’attaque Kaseya qui toucha plus de mille entreprises. Le logiciel fut exploité aussi pour des attaques lancées entre autres contre un fabricant d’armes et une grande entreprise de traitement de viande. Ce qui est intéressant à noter ici, c’est le modèle d’affaires de nombreux rançongiciels, qui vise toujours plus souvent des services de fournisseurs classiques. Les développeurs commercialisent par exemple leur logiciel sous forme de ‘Ransomware-as-a-Service’. Ils créent le malware et se chargent de l’infrastructure, alors que des bandes spécialisées prennent à leur compte les effractions et autres escroqueries. Ces dernières empochent en général la plus grande partie du butin, quelque 70 à 80 pour cent, selon BleepingComputer.

A en croire Yelisey Boguslavskiy, researcher au sein de la firme de sécurité Advanced Intel, divers criminels se plaignent que les opérateurs proprement dits de RaaS ont repris quelques fois déjà les négociations avec des victimes et ce, à l’insu de leurs collègues-criminels – les acheteurs du malware, en quelque sorte. REvil entamait ainsi un second entretien avec la victime afin de négocier une rançon. A ses complices, REvil se faisait ensuite passer pour la victime, qui décidait de ne pas donner suite à la demande de rançon. Les clients du RaaS ignoraient ainsi qu’ils avaient été doublés.

Ces rumeurs ont reçu la confirmation de chercheurs qui ont analysé le rançongiciel et y ont trouvé une porte dérobée. Voilà qui confère à REvil même une fonction de ‘coureur’ ou de rôle-clé, une manière de décrypter les fichiers des victimes, indépendamment de l’acheteur du RaaS. Ce serait aussi ce ‘coureur’ qui aurait été à la base de quelques décrypteurs universels qui ont été débloqués depuis lors, dont celui de BitDefender.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire