REvil a été à l’origine de ransomware, notamment de fuites chez Apple, d’attaques contre des fournisseurs de logiciels d’entreprise, etc. Aujourd’hui, Reuters rapporte que le gouvernement américain a réussi à pirater l’entité. Le FBI s’est associé aux services secrets, au Cyber Command et à des organisations d’autres pays pour mettre hors ligne les opérations du groupe. Pour le moment, leur blog sur le dark web, qui est la principale source d’exposition des informations, est hors ligne.
En fait, plus tôt cette semaine, TechCrunch a signalé que leur site Web Tor ne répond pas. À l’époque, beaucoup ne pensaient pas que le blog avait été piraté. Mais lorsque l’un des dirigeants présumés de REvil a écrit un article sur des serveurs « piratés », beaucoup ont commencé à penser que tout n’est pas aussi simple qu’il n’y paraît. Quoi qu’il en soit, à l’époque, personne n’a assumé la responsabilité du piratage du blog du groupe. Aujourd’hui, Reuters prouve que le gouvernement a fait en sorte que le blog soit mis hors ligne et que son opération contre les pirates du ransomware est toujours en cours.
Lisez aussi: Les pirates vendent 1,5 milliard de données d’utilisateurs Facebook sur les forums
D’un côté, il semble étrange que quelqu’un (le gouvernement, pour le moment) pirate d’autres pirates. Mais d’un autre côté, il est tout à fait raisonnable que le gouvernement prenne certaines mesures. En effet, les pirates informatiques volent beaucoup d’argent (plus de 40 millions de dollars), ce qui ne permet pas aux entreprises de reprendre leurs activités. De plus, le Trésor a imposé des sanctions qui rendent presque impossible la transformation des machines piratées en argent liquide. À son tour, le ministère de la Justice a créé une équipe, qui devrait enquêter sur les crimes commis par les bourses de crypto-monnaies.
Le FBI pirate REvil
REvil cible les grandes entreprises ou leurs fournisseurs. Disons que, récemment, le groupe a ciblé un fournisseur Apple et a obtenu des schémas des MacBook (ce dernier est arrivé cette semaine). D’autres cas étaient liés à l’énorme transformateur de viande JBS, au développeur de logiciels de gestion informatique Kaseya, Travelex et Acer. Pas en vain, le Financial Crimes Enforcement Network du Trésor américain l’a qualifié de l’un des plus grands groupes de ransomware en termes de paiements signalés.
Soit dit en passant, en juillet de cette année, REvil s’est déconnecté. Cela s’est produit juste un mois après que le FBI a publié une déclaration disant que le groupe est responsable de la chute de JBS. Si ce nom d’entreprise n’a pas de sens pour vous, c’est le cinquième au monde en termes d’approvisionnement en viande.
Bien sûr, REvil pourrait bientôt revenir. Un membre du groupe REvil a déjà restauré une sauvegarde et inclus des systèmes compromis par les forces de l’ordre. « Le gang de ransomware REvil a restauré l’infrastructure à partir des sauvegardes en supposant qu’elles n’avaient pas été compromises », a déclaré Oleg Skulkin, chef adjoint du laboratoire de médecine légale de la société de sécurité dirigée par la Russie Group-IB. « Ironiquement, la tactique préférée du gang consistant à compromettre les sauvegardes s’est retournée contre eux. »