Souvenez-vous, le 13 juillet dernier, le groupe de rançongiciel REvil/Sodinokibi prenait le vert et désactivait sa présence sur internet, laissant les victimes infectées sans interlocuteur et dans l’impossibilité de récupérer leurs données. La société de sécurité informatique Bitdefender publie un décrypteur universel gratuit pour aider les victimes du ransomware – touchées avant cette date – à restaurer leurs fichiers et reprendre le contrôle de leurs actifs. En effet, de nombreuses victimes de REvil ont refusé de payer une rançon ou l’ont payé sans pour autant obtenir une clé fonctionnelle.
Dans un billet de blog, Bitdefender annonce que le décrypteur a été créé en collaboration avec un partenaire de confiance des forces de l’ordre. « Nous pensons que de nouvelles attaques REvil sont imminentes car les serveurs et l’infrastructure en ligne du groupe de ransomware viennent ont été remis en ligne récemment après une interruption de deux mois. Nous demandons instamment aux organisations de rester en alerte et de prendre les précautions nécessaires. »
C’est la rentrée et le groupe de rançongiciel refait surface, divulguant des informations sur plusieurs nouvelles victimes, dont la dernière en date rien qu’hier, au moment où BitDefender annonçait la sortie de son déchiffreur universel gratuit et téléchargeable.
Bogdan Botezatu, directeur de recherche chez Bitdefender, a confié à ZDNet que des dizaines de téléchargements du décrypteur ont lieu depuis hier. L’entreprise a été contactée en privé par plusieurs victimes. Et de préciser : « Nous avons testé l’outil contre des attaques récentes et il ne peut pas encore décrypter les attaques après la date du 13 juillet. »
Dans son communiqué, l’entreprise de cybersécurité retrace un court historique du groupe de rançongiciel : « REvil est un opérateur de Ransomware-as-a-Service (RaaS) probablement basé dans un pays de la Communauté des États indépendants (CEI). Il est apparu en 2019 comme un successeur du ransomware GandCrab, aujourd’hui disparu, et est l’un des ransomwares les plus prolifiques du dark web. Ses affiliés ont ciblé des milliers d’entreprises technologiques, de fournisseurs de services gérés et de détaillants dans le monde entier. »
« Après avoir réussi à crypter les données d’une entreprise, les affiliés de REvil exigent d’importantes rançons pouvant atteindre 70 millions de dollars américains en échange d’une clé de décryptage et de l’assurance qu’ils ne publieront pas les données internes exfiltrées pendant l’attaque. »
Selon le site RansomWhe.re répertoriant les demandes de rançons et leurs montants, le groupe REvil aurait empoché plus de 11 millions de dollars cette année, notamment avec des attaques contre Acer, JBS, le MSP Kaseya, ou encore Quanta Computer.