Après deux mois de pause, les hackers relancent leur campagne d’infection. Mais les précédentes victimes peuvent désormais récupérer leurs données grâce à un outil développé par Bitdefender.
Bonne nouvelle pour les victimes du ransomware REvil, alias Sodinokibi. Les chercheurs en sécurité de Bitdefender viennent de développer un outil de déchiffrement universel permettant de récupérer les données qui ont été chiffrées avant le 13 juillet, date à laquelle l’infrastructure technique de ce groupe de hackers a mystérieusement disparu de la circulation. Développé en collaboration avec des forces de l’ordre, cet outil peut être téléchargé sur le site de Bitdefender. Un guide d’utilisation est par ailleurs disponible sur le site Nomoreransom.org.
L’histoire du groupe REvil ne se termine pas pour autant. Selon Avast, ces hackers viennent de recréer une infrastructure technique et ont d’ores et déjà relancé leur campagne. De nouvelles victimes commencent de nouveau à apparaître sur leur blog, comme nous avons d’ailleurs pu le constater, avec la menace d’une publication des données volées en cas de non-paiement.
Il faut dire que ce groupe dispose d’une grande expérience dans le domaine du rançongiciel. REvil a émergé en 2019 sur les décombres de GandCrab, un ransomware pour lequel Bitdefender avait également fourni un outil de déchiffrement. Fondé sur un modèle de distribution indirecte (« Ransomware as a service »), ce logiciel a déjà infecté des milliers d’organisations dans le monde, avec à la clé des demandes de rançon pouvant aller jusqu’à 70 millions de dollars. Parmi ses victimes figurent les groupes Pierre Fabre, Acer, JBS et Kaseya.
Plusieurs hypothèses circulent à propos de ces deux mois de congé. Dans des forums, le groupe REvil raconte que ce retrait était dû à la disparition de l’un des piliers du groupe. Des ex-membres du groupe, toutefois, ont dit que cet arrêt momentané a été provoqué par la pression politique des États-Unis. Quoiqu’il en soit, les méchants sont de retour, et il va falloir rester sur ses gardes.
source : 01net