REvil, le célèbre gang de rançongiciels lié à la Russie et responsable des cyberattaques très médiatisées contre Kaseya, Travelex et JBS plus tôt cette année, a de nouveau disparu après le détournement de son portail de paiement Tor et de son blog sur les fuites de données.

La fermeture intervient des semaines après la réapparition du groupe après une interruption de plusieurs mois, au cours de laquelle le groupe s’est tu après avoir fait face à la chaleur du gouvernement américain en réponse à son attaque contre Kaseya, qui a entraîné l’infection de milliers d’entreprises par des ransomwares. La nouvelle de la fermeture a été annoncée pour la première fois par un acteur menaçant connu pour être affilié à l’opération REvil dans un article publié sur un forum criminel connu, découvert pour la première fois par Dmitry Smilyanets de Recorded Future.

Le message de l’acteur de la menace a déclaré que les services Tor du groupe avaient été détournés et remplacés par une copie des clés privées du groupe, probablement à partir d’une sauvegarde antérieure. « Le serveur a été compromis et ils me cherchaient », lit-on dans le message. « Pour être précis, ils ont supprimé le chemin de mon service caché dans le fichier torrc [used for configuring the Tor service] et ont élevé les leurs pour que j’y aille. J’ai vérifié sur les autres – ce n’était pas le cas. Bonne chance à tous, je pars.

À quoi ressemble le site Tor de REvil au moment de la publication suite à un détournement apparent. (Image : TechCrunch)

Au moment d’écrire ces lignes, il n’est pas clair qui a compromis les serveurs de REvil. Un rapport du Washington Post publié en septembre indiquait que le FBI avait obtenu les clés de chiffrement du groupe pour les entreprises touchées par l’attaque de Kaseya en juillet, mais que le retrait prévu par l’agence n’avait jamais eu lieu après la disparition du groupe. D’autres évoquent une éventuelle prise de contrôle par un ancien membre du groupe, connu sous le nom de « Unkn » ou Unknown, un porte-parole de longue date du groupe, qui n’est pas revenu lorsque le reste du groupe a réapparu en septembre.

« Comme il n’y avait aucune confirmation de la raison de sa perte, nous avons repris le travail, pensant qu’il était mort », a expliqué l’acteur menaçant dans…