Bonjour à tous,
À peine revenue des enfers, REvil y retourne (peut-être) pour de bon. C'est le deuxième épisode de l'histoire de ce gang et espérons que ce soit le dernier !
🗞 La News
Il y a un mois, je vous parlais du retour du gang le plus redouté d'Internet, cette semaine un grand pas vers son arrestation définitive a été franchi. Retour sur le feuilleton cyber de l'année 2021.
Petit rappel des faits
13 juillet 2021 : la plus grosse cyberattaque de l'histoire est rendue publique. Le Groupe Kaseya et ses 1500 clients sont directement menacés par REvil.
20 juillet 2021 : le gang disparaît des radars (on ne le savait pas encore il y a un mois mais c'est le fruit d'une opération menée par un état allié des Etats-Unis).
15 septembre 2021 : grand retour du gang REvil sur la toile, le groupe semble s'être reconstitué après quelques semaines de vacances forcées (l'hypothèse de leur absence à ce moment était une volonté de sortir des radars de l'administration américaine, première persécutrice du groupe).
Nous voilà rendus au 18 octobre 2021, c'est à ce moment-là que le FBI, la Cyber Command (l'armée cybersécurité américaine), les services secrets et des pays alliés lancent une opération de mise hors ligne du gang. L'opération est réussie puisque le site "Happy Blog" qui servait de QG aux membres du groupe a été rayé de la surface du web.
REvil est donc (temporairement) hors d'état de nuire.
Explication de l'opération
Ce qu'on ne savait pas en septembre sur les vacances de REvil, c'est qu'elles n'étaient pas volontaires. Un pays allié des Etats-Unis (on ne sait pas qui) avait réussi à momentanément mettre hors ligne le gang. C'est là que le FBI pose les premières briques de l'opération du 18 octobre.
Les équipes américaines ont compromis les sauvegardes qui ont servi à REvil pour se reconstruire. Le gang revenu des enfers d'une manière triomphante était en fait infiltré par ses propres serveurs.
Le FBI et ses alliés ont utilisé cette technique pour détruire REvil. L'ironie de l'histoire veut que cette technique est la marque de fabrique du gang. « La tactique favorite du gang, qui consiste à compromettre les sauvegardes, s’est retournée contre eux » pointe Oleg Skulkin, un spécialiste russe de la cybersécurité.
Résultat, les autorités américaines ont pu observer le groupe, ils ont essayé de remonter jusqu'aux personnes physiques gérant le groupe qui d'ailleurs n'était pas surpris par l'opération.
0_neday, un des leaders du gang expliquait le 17 octobre que « le serveur avait été compromis et qu’ils cherchent à remonter vers moi ». Inquiet, 0_neday a donc signé son dernier message d’un simple « bonne chance tout le monde, je m’en vais ».
Le cybercrime au même niveau que le terrorisme
Depuis juin 2021, l'administration américaine a pris une nouvelle posture concernant le cybercrime. En effet, les déclarations de Joe Biden en juin puis lors de l'attaque de Kaseya en juillet marquaient un tournant dans la communication du président américain sur ses sujets. Les paroles ont été transformées en action concrète comme le prouve cette opération. Selon Tom Kellerman, conseiller en cybersécurité pour les services secrets américains, les cybermenaces contre des infrastructures américaines sont maintenant au niveau de sécurité nationale, au même titre que le terrorisme.
Comme je le disais plus tôt, la mise hors-ligne du gang n'est pas actée de manière définitive. Les acteurs principaux de REvil n'ont pas encore été interpellés par les autorités. Seules leurs infrastructures informatiques ont été détruites, ils sont donc toujours libres de leurs actes.
L'histoire diabolique de REvil n'est pas encore terminée...
À bientôt,
Louis des humains de Cyrius