Le groupe russophone de ransomware REvil a récemment fait parler de lui avec la cyberattaque ayant touché Kaseya. Avec un modèle économique de Ransomware-as-a-Service, les cyberattaques contre JBS USA ou encore l'assembleur Quanta Computer avec le vol de plans de produits Apple ont également été attribuées cette année à REvil ou des affiliés.

Pour sa communication et pour mener ses opérations, REvil opère via des sites web dont certains sur le Dark Web avec une adresse en .onion pour un accès sur le réseau Tor. Un blog comprend par exemple des informations sur des cyberattaques, tandis que des sites servent aux négociations et au paiement de rançons.

Depuis mardi, c'est toute cette infrastructure de REvil qui s'est évaporée et les sites ont été mis hors ligne. Kaspersky indique par ailleurs qu'un représentant de REvil a été banni d'un forum de communication populaire auprès des cybercriminels.

Pas nécessairement un démantèlement par des autorités

Un tel bannissement pourrait être une précaution vis-à-vis des autres cybercriminels en raison d'une opération menée par des forces de l'ordre et un risque de compromission. Parmi d'autres, c'est une hypothèse évoquée par Bleeping Computer.

revil-site-onion-tor

Néanmoins, la disparition d'internet de REvil pourrait aussi être volontaire comme cela s'est par exemple déjà vu avec le groupe DarkSide. Du moins, le temps de se faire plus discret et avec l'éventualité de revenir plus tard sous une nouvelle identité.

Ce genre de fermeture peut aussi faire écho à une escroquerie de type exit scam dans le but de ne pas avoir à payer des associés.

Le flou demeure pour le moment et pourrait durer. Le président des États-Unis Joe Biden s'est récemment entretenu avec son homologue russe Vladimir Poutine et a évoqué la question des attaques par ransomware perpétrées par des groupes basés en Russie.