Recevez chaque jour toute l'actualité du numérique

x

Ransom Cartel, un faux nez d'anciens de REvil ?

Des spécialistes de la sécurité informatique notent un air de famille d’un nouveau rançongiciel avec REvil, dont le démantèlement a été annoncé il y a deux semaines par la police russe.
Twitter Facebook Linkedin Flipboard Email
×

Ransom Cartel, un faux nez d'anciens de REvil ?
Ransom Cartel, un faux nez d'anciens de REvil ? © Ayrus Hill/Unsplash

L’encre de l’annonce par le FSB russe du démantèlement du gang de rançongiciel REvil, connu également sous le nom de Sodinokibi, est à peine sèche. Mais déjà, des chercheurs en sécurité informatique s’interrogent sur une poursuite des activités criminelles de certains de ses membres. Le collectif de spécialistes Malware Hunter Team vient ainsi de faire récemment part de ses doutes sur Twitter.

Selon ces chercheurs, un nouveau rançongiciel, Ransom Cartel, apparu à la mi décembre, serait lié, d’une manière ou d’une autre, à REvil. Et de lister les similitudes observées, que ce soit dans le modèle de note de rançon ou, plus intéressant, dans le fonctionnement apparent du rançongiciel lui-même. Certes, ces quelques indices ne permettent pas de conclure l’analyse de manière certaine. Les gangs spécialisés dans les rançongiciels, une industrie criminelle extrêmement lucrative devenue l'une des principales menaces de sécurité informatique, ont en effet des contours mouvants et sont par nature extrêmement opaques.

Des similitudes
Mais pour le collectif Malware Hunter Team, il est toutefois possible de dresser quelques hypothèses. Des développeurs auraient ainsi pu copier ou acheter le code source du logiciel malveillant de REvil pour s’en inspirer. Autre piste, il s’agirait d’une nouvelle version du logiciel malveillant. Un signe alors que des membres du gang seraient toujours actifs mais soucieux de cacher leur ancienne affiliation.

Si c'est le cas, on peut aisément en imaginer les raisons, que ce soit par crainte de poursuites judiciaires ou à cause de la mauvaise réputation de REvil dans les sphères cybercriminelles. Le gang avait en effet installé une porte dérobée dans son logiciel, lui permettant ainsi de pouvoir doubler ses affidés qui louaient son infrastructure.

Les chercheurs de la Malware Hunter Team ne sont pas les seuls à soupçonner une poursuite des activités de membres de REvil. En témoigne le message récent, toujours sur Twitter, du PDG d’Advintel, une firme new-yorkaise spécialisée dans le renseignement sur la cybercriminalité russophone. "Nous avons la confirmation et la connaissance que de nombreux hackers de REvil travaillent toujours avec d’autres groupes, comme Conti par exemple", explique Vitali Kremez.

Un coup de filet au maigre butin
En clair, les spécialistes de la sécurité informatique sont de plus en plus dubitatifs sur la réalité d’un démantèlement du terrible gang, près de deux semaines après l’arrestation par la police russe de quatorze suspects. Le coup de filet s’est pour le moment traduit par seulement huit mises en examen, selon l’agence Tass, et uniquement pour des faits de blanchiment. Soit un résultat un peu maigre au vu de l’ampleur des activités criminelles de REvil.

Détecté pour la première fois en avril 2019, REvil était en effet devenu une véritable PME du cybercrime, comptant dans ses rangs selon des spécialistes de la sécurité informatique une dizaine de développeurs. Le gang avait été impliqué dans de nombreuses attaques, dont le français Pierre Fabre, le fabricant d’informatique taïwanais Acer ou encore un sous-traitant d’Apple et le géant de l’agroalimentaire JBS. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.