Un coup d'arrêt définitif aux activités du gang derrière le ransomware Revil (aka Sodinokibi) ? C'est la question qui se pose après des discussions sur un forum, observées par Dmitry Smilyanets de Recorded Future. Dans ces échanges, on apprend qu'une personne a pris le contrôle du portail de paiement Tor et du blog sur les fuites de données du groupe.

Un interlocuteur connu sous le pseudo « 0_neday » et opérateur de Revil a confirmé qu’un tiers non identifié a compromis un serveur en se servant des clés privés d’un ancien acteur du gang, nommé « Unknow ». Ce dernier avait cessé ses activités en juillet dernier après l’affaire Kaseya. Le groupe avait alors réussi à pirater plusieurs MSP en se servant d’une faille non encore corrigée par l’éditeur. Il réclamait alors 70 millions de dollars de rançon.

Derniers soubresauts avant fermeture définitive

0_neday a estimé que la compromission de l’infrastructure du groupe, justifie l’arrêt de l’activité du groupe. Il a demandé aux affiliés de la contacter pour obtenir les clés de déchiffrement des campagnes de ransomware, via Tox (un protocole réseau ouvert de messagerie instantanée, voix sur IP et visioconférence). Les affiliés peuvent ainsi continuer à extorquer leurs victimes et fournir un déchiffreur si la rançon est payée.

Avec ce dernier rebondissement, il y a fort à parier que les activités de Revil s’arrêtent définitivement. Les opérations avaient été relancées en septembre dernier en utilisant des sauvegardes de l’infrastructure du groupe. Mais comme la nature a horreur du vide, l’absence de Revil a fait le bonheur d’autres groupes comme BlackMatter et Haron, l’obligeant à augmenter les commissions des affiliés jusqu’à 90%. Récemment, les mauvaises pratiques de ce gang avaient été mises en lumière en planquant un tchat dans le ransomware pour doubler les affiliés.