Les spéculations vont bon train depuis que les sites Web du rançongiciel REvil ont été mis hors ligne avant-hier. Est-ce une intervention du gouvernement américain ? Du gouvernement russe ? Les cybercriminels ont-ils décidé de disparaitre d’eux-mêmes après la récente cyberattaque géante de l’éditeur de logiciels Kaseya ?

En tout cas, privées de ce moyen de communication avec les cybercriminels, certaines victimes n’ont pas eu la possibilité d’entamer une négociation avec eux. D’autres encore, ayant payé une rançon, sont désormais dans l’impossibilité de récupérer la clé de décryptage nécessaire pour restaurer leurs réseaux.

REvil – également connu sous le nom de Sodinokibi – est exploité en tant que ransomware-as-a-service : les créateurs du malware travaillent avec d’autres groupes, des « affidés », pour le distribuer à l’intérieur des réseaux de leurs victimes.

Avant l’attaque de Kaseya – qui aurait notamment touché Keyrus selon notre confrère du MagIT – les utilisateurs de REvil s’étaient montrés particulièrement actifs et agressifs. Le rançongiciel a fait une quarantaine de victimes en juin, y compris l’attaque contre la filiale américaine du géant agroalimentaire JBS.

Si la disparition de REvil s’avère volontaire, ce ne serait pas la première fois. Le groupe – qui se faisaient appeler Gandcrab auparavant – s’était déjà évanoui au printemps 2019. Les opérateurs de rançongiciels ont l’habitude de se mettre au vert après une grosse cyberattaque (cf. Avaddon ou DarkSide) pour revenir plus tard, éventuellement sous un autre nom.

Il se pourrait aussi que la fermeture des sites de REvil soit liée à une intervention gouvernementale. En effet, elle a lieu quelques jours seulement après un avertissement du président américain Joe Biden au président russe Vladimir Poutine. Depuis vendredi dernier, les États-Unis se disaient prêts à prendre des mesures si les groupes de ransomware opérant depuis la Russie n’étaient pas arrêtés.