Après une sorte de pause estivale à la suite de la mise hors ligne de certaines parties de l'infrastructure de ce Ransomware-as-a-Service proposé à des affiliés, REvil avait signé son retour au mois de septembre. Bleeping Computer se pose désormais la question de savoir si REvil sous sa forme actuelle n'a pas fermé pour de bon.
Son infrastructure aurait en effet été compromise avec le détournement du portail Tor de paiement, ainsi que du blog utilisé pour publier des échantillons de données dérobées et pour lister les victimes refusant de négocier ou payer des rançons.
A priori, une personne a été en mesure d'obtenir les clés privées des services cachés Tor du groupe REvil et avec un accès aux sauvegardes de l'infrastructure. Cette information a été divulguée sur un forum de hacking par un individu en lien avec REvil et se présentant en tant que 0_neday.
Le mois dernier, Bitdefender a publié un outil de déchiffrement pour les fichiers bloqués par le ransomware REvil. Ce déchiffreur universel gratuit pour des attaques par REvil avant le 13 juillet 2021 a été développé en collaboration avec un partenaire de confiance chez les forces de l'ordre.
En début de mois, Europol a annoncé les arrestations en Ukraine de deux opérateurs prolifiques d'un ransomware, en soulignant qu'ils étaient connus pour des demandes de rançons particulièrement élevées. Le ransomware en question n'a pas été dévoilé, mais plusieurs indices pointaient vers REvil.
