Le gang de hackers REvil a été mis hors d’état de nuire

Une opération regroupant les forces de l'ordre de plusieurs pays vient de mettre hors d'état de nuire les serveurs d'un des plus célèbres groupes de ransomwareransomware. REvil, un groupe de hackers russe, a été victime d'une de ses propres techniques quand les autorités ont infiltré ses serveurs et ses sauvegardes.

REvil est apparu en 2019 et a enchaîné de nombreux piratages importants. Le groupe utilise le ransomware DarkSide, et était associé au groupe du même nom qui a pris en otage le Colonial Pipeline au mois de mai. REvil a attaqué Acer au mois de mars et réclamait 50 millions de dollars. Le groupe s'en est également pris à Apple via des serveurs d'un sous-traitant et a menacé de dévoiler des documents confidentiels concernant de nouveaux produits.

Les sauvegardes des criminels compromises

L'une des attaques les plus importantes a eu lieu au mois de juillet, lorsque les hackers sont parvenus à infiltrer l’éditeur de logiciels Kaseya. De nombreuses entreprises, clientes de Kaseya, avaient été affectées. C'est à ce moment-là que les forces de l'ordre ont réussi à infiltrer à leur tour les serveurs de REvil pour obtenir une clé de déchiffrementdéchiffrement universelle. Ils ont également utilisé l'une des techniques fétiches du groupe : infiltrer les sauvegardes.

Les criminels avaient ensuite disparu temporairement, avant que les autorités ne puissent intervenir. Le mois dernier, le groupe a repris son activité en restaurant les sauvegardes déjà compromises, redonnant ainsi accès aux forces de l'ordre qui a pu fermer les serveurs. Cette solution n'est pas parfaite, puisque tant que les membres de REvil n'ont pas tous été arrêtés, le groupe pourra toujours revenir. Toutefois, ils devront tout reprendre à zéro.