La cyberattaque qui a interrompu certaines opérations de l’un des plus grands fournisseurs de viande du monde cette semaine est l'œuvre de REvil, une franchise de ransomware connue pour sa série de tactiques coupe-gorge toujours plus nombreuses, conçues pour extorquer le maximum d'argent. Le FBI a attribué cette attaque au groupe cybercriminel mercredi, un jour après avoir appris que la société brésilienne JBS SA ait subi cette attaque par ransomware qui a entraîné la fermeture d'au moins cinq usines aux États-Unis, ainsi que d'installations au Canada et en Australie. REvil, connu aussi sous le nom de Sodinobiki, est un logiciel malveillant de type rançongiciel. Ces attaques consistent non seulement à chiffrer les données que la victime ne peut recouvrer que contre une rançon, mais en plus, les cybercriminels exercent un chantage à la diffusion de ces données. Le vecteur d'infection principal est un courriel d'hameçonnage qui invite à télécharger un fichier compressé, mais d'autres techniques ont été utilisées (site Web compromis, par exemple). REvil et ses affiliés représentent environ 4 % des attaques visant les secteurs public et privé. Ce qui le distingue, c'est la cruauté de ses tactiques, qui sont conçues pour exercer une pression maximale sur les victimes.
Une rançon sous haute pression
REvil est un mot-valise, résultat de la contraction de Ransomware Evil. Il est apparu pour la première fois en avril 2019. On soupçonne qu'il est opéré par l'ancien groupe GrandCrab, dont la disparition coïncide justement avec cette date. Selon les experts en sécurité, le succès de REvil est dû en grande partie à l'efficacité du modèle commercial RaaS, qui implique que les opérateurs développent des ransomwares, des portails de paiement pour les victimes, des sites de fuite de données et quelques fois des négociations. Les opérateurs vérifient ensuite et recrutent des affiliés qui, dans le cas de REvil, sont des personnes hautement qualifiées en matière de pénétration de réseau, de travail dans des environnements en cloud, de négociation et d'autres attributs.
« Dans une certaine mesure, REvil est un pionnier... Il est l'un des premiers à avoir adopté l’affichage public des victimes et à s'être fortement engagé dans la voie de la double extorsion. Ils ont également été les premiers à expérimenter la vente aux enchères de données volées. Certaines enchères ont été couronnées de succès, d'autres non, mais les données volées à certaines victimes étaient potentiellement disponibles pour le plus offrant», a déclaré Jim Walter, chercheur principal en menaces à la société de sécurité SentinelOne.
Les affiliés reçoivent chacun une version personnalisée du ransomware, puis sont chargés de trouver et d'infecter des victimes. Pour chaque victime qui paie, l'opérateur garde une part, puis distribue le montant restant à l'affilié responsable, via un modèle de partage des bénéfices. Au moins en 2019, REvil annonçait que les affiliés conserveraient 60 % de chaque paiement de rançon, ce pourcentage passant à 70 % après avoir enregistré trois paiements de rançon réussis.
Parmi les victimes de ces extorsions, on compte le groupe Grubman Shire Meiselas & Sacks (GSMS), le cabinet d'avocats spécialisé dans les célébrités. Le groupe criminel à l'origine du ransomware REvil a extorqué l’année dernière ce cabinet d'avocats basé à New York, menaçant de divulguer des fichiers sensibles sur les clients célèbres de l'entreprise à moins que celle-ci ne paie une énorme demande de rançon. Lorsque REvil a exigé 21 millions de dollars en échange de la non-publication des données, le cabinet d'avocats aurait proposé 365 000 dollars. REvil a répondu en augmentant sa demande à 42 millions de dollars, puis en publiant une archive de 2,4 Go contenant des documents juridiques de Lady Gaga.
Le 7 mai 2020, les opérateurs de REvil ont publié un message adressé au personnel de GSMS sur un portail dark web, menaçant de divulguer les fichiers de ses clients, fichiers que la bande de REvil a volés sur le réseau interne du cabinet d'avocats avant de chiffrer ses fichiers. Des captures d'écran publiées sur le site laissaient entendre que les pirates avaient volé des documents concernant les clients de GSMS, dont Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, Bette Midler, U2, Outkast, Jessica Simpson, Cam Newton, Facebook, etc. Parmi les autres victimes de REvil figurent Kenneth Copeland, SoftwareOne, Quest et Travelex.
L'année dernière, REvil a commencé à mettre aux enchères les informations confidentielles des victimes qui refusent de payer. En mars, le groupe a annoncé un nouveau service qui contacte les médias et les partenaires des victimes pour les informer d'une violation. REvil peut également menacer les victimes avec des attaques DDoS.
REvil est apparu pour la première fois en avril 2019 et a rapidement acquis une réputation de prouesse technique lorsqu'il a utilisé des fonctions légitimes du processeur pour contourner les systèmes de sécurité. En avril de cette année, Kaspersky a classé REvil comme le troisième groupe de ransomware. REvil est le type de logiciel malveillant le plus souvent rencontré par les victimes de ransomware au cours des trois premiers mois de l'année, selon la société de réponse aux incidents liés aux ransomwares, Coveware.
Les chaînes d'approvisionnement menacées
En avril, REvil a volé des données au fabricant Quanta Computer et a ensuite demandé 50 millions de dollars à Apple en échange de la non-publication des données techniques qu'il avait obtenues pour des produits Apple non commercialisés. Le groupe a ensuite publié les schémas de deux produits Apple le jour même de leur annonce. Les données ont depuis été retirées, pour des raisons inconnues.
L'incident de cette semaine est survenu trois semaines après la fermeture par un ransomware du Colonial Pipeline, un événement qui a provoqué des pénuries d'essence et de kérosène sur toute la côte est des États-Unis.
La production a commencé à reprendre mercredi dans les usines de production de viande bovine de JBS aux États-Unis, bien que des milliers de travailleurs de JBS aux États-Unis, au Canada et en Australie aient vu leurs horaires modifiés ou annulés en début de semaine.
Ces attaques par ransomware continuent d'exposer la fragilité des chaînes d'approvisionnement du pays, alors que les dirigeants des secteurs privé et public luttent, en grande partie en vain, pour contenir la menace.
Sources : Kaspersky, EMSISOFT, FBI
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie, suite au piratage du géant agroalimentaire JBS
2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense
Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons Bitcoin avant d'arrêter leurs activités
Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware. En deux semaines la Floride a payé 1,1 million de dollars
Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS
Ces pirates utilisent des tactiques de haute pression pour extorquer leurs victimes
Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS
Ces pirates utilisent des tactiques de haute pression pour extorquer leurs victimes
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !