Le groupe de rançongiciel REvil est « neutralisé » selon le service de renseignement intérieur russe (FSB). Ce dernier a annoncé vendredi avoir identifié les membres de l’organisation, documenté leurs activités illégales et établi leur implication. Des perquisitions ont eu lieu à 25 adresses – autour de Moscou, Saint-Pétersbourg, Leningrad et Lipetsk – appartenant à 14 membres présumés de REvil. Le FSB indique y avoir saisi plus de 426 millions de roubles (4,9 millions d’euros), 600.000 dollars, 500.000 euros et 20 voitures de luxe.
Cette série de perquisitions a été déclenchée deux mois après que les autorités américaines ont annoncé avoir arrêté le ressortissant ukrainien responsable de l’attaque Kaseya et avoir saisi plus de 6 millions de dollars auprès d’un autre membre de REvil impliqué dans près de 3.000 attaques. Le FSB annonce d’ailleurs, dans un communiqué, avoir informé les autorités américaines des résultats de son raid.
Pour historique, REvil / Sodinokibi a fait son apparition en été 2019 avec l’attaque de TSM Consulting, un petit MSP texan. Moins de deux ans plus tard, REvil et ses affidés ont mené quatre des dix plus grandes attaques de ransomware de l’année 2021 :
En mars 2021, REvil affirme avoir infiltré Acer et volé des données non cryptées. Il a publié sur son site des images pour le prouver.
En avril, REvil a volé des plans de produits chez Quanta Computer, un fournisseur d’Apple. Il a publié des fichiers techniques et menacé de divulguer les fichiers si Apple ne payait pas une rançon.
En juin, le géant de l’agroalimentaire JBS a versé 11 millions de dollars à REvil après l’immobilisation de sa production.
L’affaire Kaseya en juillet dernier semble avoir été la goutte d’eau qui a fait déborder le vase : une attaque menée par REvil sur le MSP floridien s’est répercutée sur 50 MSP et 1.500 clients en aval. REvil est devenue une priorité du FBI. Depuis, un des vétérans du bureau d’investigation a été nommé responsable de la sécurité des systèmes d’information (RSSI) de Kaseya.