Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tout ce qu’il faut savoir sur REvil

juillet 2021 par Wendi Whitmore, Senior VP en charge de l’Unit42 de Palo Alto Networks

Les équipes de sécurité du monde entier ont fort à faire depuis vendredi pour stopper/contrer les attaques de ransomware ciblant le fabricant de logiciels de gestion informatique Kaseya VSA et ses clients.

Jusqu’à présent cette année, Unit 42 by Palo Alto Networks a répondu à plus d’une douzaine de cas impliquant REvil (également connu sous le nom de Sodinokibi), ce qui en fait l’un des groupes #ransomware les plus prolifiques que nous ayons rencontrés. Voici quelques informations glanée auprès des enquêteurs et des chercheurs sur les menaces de l’Unité 42 en matière d’intervention en cas d’incident :

• Le paiement moyen que nous avons observé dans les affaires REvil cette année était d’environ 2,25 millions de dollars. La plus grande rançon connue qu’il a prise était de 11 millions de dollars à la suite d’une attaque très médiatisée contre la plus grande entreprise d’emballage de viande au monde qui a fermé des usines de transformation.

• Le groupe exige des rançons importantes, mais est ouvert à la négociation de paiements inférieurs. Après l’attaque de vendredi sur Kaseya VSA, il a exigé 70 millions de dollars pour un outil permettant de décrypter tous les fichiers concernés. Lundi, il a réduit cette demande à 50 millions de dollars. Mais lorsque les victimes ne parviennent pas à entrer dans les négociations ou à payer, REvil publie des données volées sur son site de fuite, qu’il appelle « Happy Blog ».

• Des détails émergent encore sur l’impact de l’attaque de Kaseya VSA, qui a pris certaines organisations au dépourvu car elle a été lancée à 16 h, le vendredi, avant un week-end de vacances de trois jours aux États-Unis. REvil prétend avoir crypté plus d’un million de systèmes.

Alors que de nombreuses personnes n’ont appris que récemment l’existence de REvil, les chercheurs de l’Unité 42 surveillent les acteurs de la menace liés à ce groupe depuis trois ans. L’Unit42 et ses experts l’ont découvert pour la première fois en 2018 alors qu’ils travaillaient avec un groupe connu sous le nom de « GandCrab » qui n’était pas impliqué dans les ransomwares. Ils étaient principalement axés sur les kits de publicité malveillante et d’exploitation, qui sont des publicités malveillantes et des outils malveillants que les pirates utilisent pour infecter sans le savoir les victimes via des téléchargements lorsqu’ils visitent un site Web malveillant.

Ce groupe s’est ensuite transformé en REvil, s’est développé et a acquis la réputation de voler des quantités massives de données et d’exiger des rançons de plusieurs millions de dollars. Il est maintenant l’un des fournisseurs les plus importants de ransomware en tant que service, ou RaaS. Il fournit aux clients (connus sous le nom d’affiliés) des outils adaptables pour le cryptage et le décryptage, une infrastructure d’attaque et des services pour les communications de négociation. Pour ces services, REvil perçoit un pourcentage des paiements de rançon. Comme la plupart des opérateurs de ransomware, REvil utilise deux approches pour persuader les victimes de payer :

• Ils chiffrent les données afin que les organisations ne puissent pas accéder aux informations, utiliser des systèmes informatiques critiques ou restaurer à partir de sauvegardes.
• Ils volent également des données et menacent de les publier sur leur site de fuite (une tactique connue sous le nom de double extorsion).

Le nombre de serveurs Kaseya vulnérables et accessibles au public a fortement chuté au cours du week-end du 4 juillet, les organisations ayant rapidement répondu à la recommandation du fabricant de logiciels informatiques de mettre les systèmes hors ligne pour minimiser l’impact de l’attaque de ransomware de REvil.

Le nombre de serveurs Kaseya vulnérables visibles par les attaquants a chuté de 96%, passant d’environ1 500 le 2 juillet à 60 le 8 juillet, selon des analyses Internet utilisant la plate-forme Palo Alto Networks Cortex Xpanse.

« Bien qu’il soit trop tôt pour savoir comment tout cela se déroulera, nous sommes prudemment optimistes quant à l’impact de cette attaque, car Kaseya a rapidement fourni aux clients des conseils clairs sur la façon d’atténuer cette menace », commente Matt Kraning, en charge de Cortex. chez Palo Alto Networks. « C’est un bon rappel à la vigilance. Toutes les organisations doivent disposer d’un inventaire complet et précis de leurs actifs informatiques afin de pouvoir évaluer rapidement et de manière exhaustive si elles sont exposées à de telles attaques, et supprimer et isoler tous les actifs potentiellement exposés de leur réseau. »




Voir les articles précédents

    

Voir les articles suivants