REvil refait parler de lui
Démantelé en janvier 2022, le groupe de rançongiciel REvil vient de refaire surface, via un nouveau site (redirigé depuis l’ancien), revendiquant de nouvelles victimes.
En octobre 2021, une opération de police internationale déconnecte les serveurs du groupe de rançongiciel REvil, responsable entre autres des spectaculaires cyberattaques contre Colonial Pipeline, JBS, Kaseya ou Pierre Fabre. En janvier 2022, le FSB russe annonce le démantèlement définitif du groupe suite à une vague d’arrestations.
Le site du groupe sur Tor affichait une « erreur 404 ». Mais, depuis le 19 avril 2022, cette URL indique une redirection vers un nouveau site, présenté comme administré par REvil. Ce site diffère du précédent dans le titre et la maquette, mais il dresse une liste de nombreuses victimes déjà revendiquées par REvil, ainsi que nouvelles organisations, comme Oil India – une société indienne qui a récemment confirmé avoir été victime d’un rançongiciel.
Le site affiche également une offre de recrutement pour de nouveaux affiliés, en leur proposant « une version améliorée du ransomware REvil ».
Une telle redirection imposant de disposer des accès administrateur du site original, certains experts en cybersécurité estiment que cette résurgence est le fait de membres de REvil ayant échappé aux autorités. D’autres jugent qu’il s’agit plus probablement d’un nouveau groupe cherchant à profiter de la renommée de REvil pour se faire connaître.