REvil

REvil est une organisation de hackers basée en Russie, dont le nom est une fusion de "ransomware" et "evil". Des groupes comme REvil distribuent des ransomwares, qui sont essentiellement des virus bloquant les fichiers et les cryptant après infection. Après que les informations aient été volées et rendues inaccessibles à la victime, le groupe envoie une rançon aux victimes. Le message exige généralement le paiement d'une rançon en crypto-monnaies telles que le bitcoin. Si la rançon n'est pas payée à temps, le montant est doublé. Le bitcoin est utilisé en raison de l'anonymat perçu et de la facilité de paiement en ligne.

Une Stratégie unique

Le groupe REvil utilise une stratégie unique pour mettre davantage de pression sur les victimes en volant des données, en verrouillant les victimes hors de leurs ordinateurs, puis en menaçant de divulguer les données volées en les mettant aux enchères sur leurs sites Web sur le "Dark Web".

REvil loue également des ransomwares à d'autres groupes de hackers afin qu'ils puissent mener des attaques similaires. REvil propose ainsi des ransomwares en tant que services (RaaS). L'une des attaques par ransomware les plus notables de l'année dernière, menée par le groupe DarkSide qui a acheté ce service à REvil, a été perpétrée en mai 2021 contre Colonial Pipeline (une société américaine d'oléoducs). 

Comment se déroulent les attaques

L'une des méthodes consiste à utiliser des informations d'identification préalablement volées pour obtenir un accès à distance ("Remote Desktop Protocol") à des ordinateurs et des serveurs, puis à distribuer des logiciels malveillants. Une autre méthode courante est le phishing, c'est-à-dire le fait de tromper une personne pour qu'elle révèle des informations sensibles.

Attaques connues

Le groupe de ransomware a été lié à de nombreuses attaques connues, notamment contre Quanta, une entreprise taïwanaise qui vend, entre autres, des équipements de centres de données à Apple. REvil a réussi à voler des données sensibles d'Apple, comme des modèles d'ordinateurs et de téléphones portables, et a exigé une rançon de 50 millions de dollars. Un mois plus tard, REvil a retiré toutes les références liées à l'attaque de son site sur le Dark Web. Par conséquent, on ne sait pas si Apple ou Quanta a payé la rançon.

Une autre attaque notoire a visé le cabinet d'avocats new-yorkais Grubman Shire Meiselas & Sacks, qui prétend avoir obtenu des documents relatifs à l'ancien président Donald Trump.

Le 30 mai 2021, JBS S.A. a été victime d'un ransomware qui a contraint l'entreprise à interrompre temporairement toutes ses usines de viande américaines. JBS a été contraint de payer une rançon de 11 millions de dollars en bitcoins à REvil afin d'obtenir la clé de cryptage. 

Le 2 juillet 2021, REvil a attaqué le logiciel Kaseya (qui gère les réseaux, les systèmes et les infrastructures informatiques) en distribuant un ransomware sur le système de Kaseya. REvil a exigé 70 millions de dollars pour restaurer toutes les données cryptées. En conséquence, la chaîne de magasins suédoise Coop a été contrainte de fermer 800 magasins pendant plusieurs jours.

Le 13 juillet 2021, les sites web et autres infrastructures de REvil ont disparu d'Internet. Il a été révélé par la suite que le gouvernement russe avait attaqué de nombreux membres du groupe et avait ainsi fermé REvil.

Il est important de noter que REvil, contrairement aux hackers d'État, est presque exclusivement motivé par des raisons financières.

Comment protéger vos organisations contre les ransomwares ?

Même si le groupe REvil se concentre sur les grandes organisations, cela ne signifie pas que les petites organisations ne sont pas exposées à des attaques similaires. Par conséquent, il est important de toujours examiner les vulnérabilités et de remettre en question votre protection de sécurité. Vous devez penser comme l'attaquant.

Voici quelques recommandations pour lutter contre les ransomwares:

- Paramètres et autorisations : Passez en revue les paramètres et les règlements de votre système. Examinez les permissions et les accès. Assurez-vous que les utilisateurs disposent du moins d'autorisations possible pour effectuer leur travail.

- Réduire la zone d'attaque : Disposer de systèmes permettant de filtrer les courriels malveillants du système avant qu'ils ne soient envoyés aux utilisateurs. 

- Faites des sauvegardes : Pour être en mesure de restaurer les systèmes qui ont été touchés par un ransomware, il faut disposer de sauvegardes et de protocoles de restauration.

- Introduisez l'authentification multifactorielle : Pour stopper la propagation des ransomwares, l'authentification multifactorielle doit être introduite dans tous les comptes de l'organisation.

- Patcher les systèmes régulièrement : Disposer d'un système permettant de mettre à jour toutes les unités commerciales et les applications.