Si les ransomwares étaient des films Marvel, REvil serait clairement du niveau de Thanos dans Avengers. Pas juste un méchant lambda qui veut dominer le monde, mais un stratège qui a construit un empire, recruté des sbires partout sur la planète, et qui a failli réussir à prendre en otage l’économie mondiale. Sauf que contrairement au MCU, cette histoire est bien réelle et s’est terminée par des arrestations spectaculaires. Du délire !
– Message de rançon typique affiché lors d’une infection REvil (source)
Entre 2019 et 2022, le groupe REvil (aussi connu sous le nom de Sodinokibi) a réinventé l’art du chantage numérique en mettant au point la double extorsion et en perfectionnant le modèle de “Ransomware-as-a-Service”. Ces génies du mal russo-ukrainiens ont ainsi gagné plus de 200 millions de dollars en rançons (oui, 200 MILLIONS!), paralysé des milliers d’entreprises mondiales, et forcé les gouvernements à repenser complètement leur approche de la cybersécurité.
Leur chute spectaculaire nous offre un thriller digne des meilleurs romans d’espionnage, avec des rebondissements géopolitiques, des erreurs techniques fatales, et une coopération internationale inédite entre le FBI et le FSB russe.
– Les similitudes entre GandCrab (gauche) et REvil (droite) ne sont pas une coïncidence (source)
Du coup, l’histoire commence en avril 2019, quand les experts en cybersécurité détectent un nouveau ransomware particulièrement sophistiqué. Premier indice troublant : ce malware apparaît exactement au moment où GandCrab, l’un des ransomwares les plus prolifiques de l’époque, annonce sa “retraite”.
Coïncidence ? Pas vraiment.
Les analyses techniques révèlent rapidement que les fonctions de décodage de chaînes utilisées par REvil sont quasi-identiques à celles de GandCrab. Plus troublant encore, certains échantillons contiennent des références à “gcfin” dans leurs chemins de débogage, probablement pour “GandCrab Final”. Les mêmes développeurs avaient simplement rebrandé leur création.
Cette continuité n’est pas anodine car GandCrab avait déjà popularisé le modèle Ransomware-as-a-Service (RaaS). Plutôt que de mener les attaques eux-mêmes, les développeurs de REvil ont créé une véritable franchise criminelle. Le principe est diablement efficace : ils fournissent le ransomware hyper sophistiqué à des “affiliés” qui se chargent de l’installer chez les victimes, puis se partagent les profits selon un pourcentage négocié (généralement 70% pour l’affilié, 30% pour les développeurs). Cette approche permet de démultiplier les attaques tout en réduisant les risques pour les créateurs originaux. Y’a même un support technique 24/7 sur le darkweb, c’est vous dire le niveau de professionnalisation!
Mais REvil ne s’est pas contenté de reprendre la recette de GandCrab. En 2020, ils ont introduit une innovation qui va terroriser le monde des entreprises : la double extorsion. Traditionnellement, les ransomwares se contentent de chiffrer les fichiers et demandent une rançon pour la clé de déchiffrement. REvil a ajouté une étape supplémentaire : avant de chiffrer, ils volent massivement les données sensibles (on parle de téraoctets de données exfiltrées via des serveurs compromis). Si la victime refuse de payer ou tente de restaurer ses sauvegardes, ils menacent de publier tous les documents confidentiels sur leur site “Happy Blog”.
Et cette tactique s’avère redoutablement efficace. Même les entreprises avec d’excellentes sauvegardes se retrouvent coincées car elles ne peuvent pas récupérer leurs secrets commerciaux, données clients, ou informations stratégiques une fois publiés. Le chantage devient double : “payez pour récupérer vos fichiers ET pour qu’on ne ruine pas votre réputation”. L’impact psychologique est énorme et les taux de paiement explosent. Du coup, tous les autres groupes de ransomware se mettent à copier cette technique.
Les méthodes d’infiltration de REvil évoluent rapidement et montrent une sophistication technique impressionnante. Initialement, ils exploitent une vulnérabilité critique dans Oracle WebLogic (CVE-2019-2725) pour s’implanter dans les serveurs d’entreprise. Puis ils diversifient leurs vecteurs d’attaque : campagnes de spam avec pièces jointes malveillantes (souvent des documents Office avec macros), attaques par force brute sur les connexions RDP mal sécurisées (ils scannent littéralement tout Internet pour trouver des ports 3389 ouverts), exploitation de failles zero-day dans les logiciels de gestion informatique.
Leur arsenal technique impressionne même les experts puisque le ransomware utilise l’algorithme de chiffrement Salsa20 avec des clés RSA-2048 pour la protection (quasi impossible à casser), peut détecter et contourner plus de 40 solutions antivirus différentes, s’adapte automatiquement aux différents environnements système (Windows, Linux, même certains NAS), et optimise automatiquement sa propagation sur les réseaux internes via des techniques de lateral movement. Le malware est même capable de supprimer les shadow copies Windows pour empêcher toute récupération!
L’année 2021 marque l’apogée de REvil avec une série d’attaques spectaculaires qui font la une mondiale. En mars, ils s’attaquent à Acer, le géant taïwanais de l’informatique, et réclament la rançon record de 50 millions de dollars (doublée à 100 millions en cas de refus après 10 jours). L’audace du montant fait sensation dans la communauté cybersécurité. C’est du jamais vu!
Quelques semaines plus tard, c’est Apple qui se retrouve indirectement visé. REvil infiltre Quanta Computer, sous-traitant taïwanais de la pomme qui fabrique les MacBook, et vole les plans détaillés des futurs produits Apple incluant les schémas techniques du nouveau MacBook Pro et de l’Apple Watch. Les cybercriminels publient quelques documents sur leur Happy Blog (incluant des schémas techniques ultra-confidentiels) et menacent de révéler tous les secrets de conception d’Apple si 50 millions ne sont pas versés avant le 1er mai. Tim Cook refuse catégoriquement de négocier, mais l’incident démontre que même les géants technologiques les plus sécurisés ne sont pas à l’abri.
– Le “Happy Blog” de REvil où étaient publiées les données volées, ici les plans d’Apple (source)
L’attaque la plus spectaculaire frappe ensuite JBS Foods le 30 mai 2021. Ce géant de l’agroalimentaire brésilien, premier transformateur de viande au monde avec 150 000 employés, voit tous ses sites américains et australiens paralysés du jour au lendemain. L’arrêt de production menace l’approvisionnement alimentaire de millions d’Américains et fait flamber les prix de la viande de 25% en quelques jours. La Maison Blanche s’en mêle directement et sous pression gouvernementale intense, JBS accepte finalement de payer 11 millions de dollars en Bitcoin pour récupérer ses systèmes. L’incident révèle alors la vulnérabilité des infrastructures critiques et déclenche une prise de conscience politique majeure.
– Diagramme montrant comment REvil se propage (Source)
Mais c’est l’attaque contre Kaseya VSA le 2 juillet 2021 qui marque le tournant. Kaseya développe des logiciels de gestion informatique utilisés par des milliers de Managed Service Providers (MSP) pour administrer les systèmes de leurs clients. En exploitant une vulnérabilité zero-day dans les serveurs Kaseya VSA (CVE-2021-30116), REvil réussit un effet domino inouï : plus de 1500 entreprises clientes dans 17 pays se retrouvent simultanément chiffrées. Les supermarchés Coop en Suède doivent fermer 800 magasins, des écoles en Nouvelle-Zélande sont paralysées, des entreprises partout dans le monde découvrent le message de rançon. C’est du jamais vu dans l’histoire des ransomwares, une attaque qui touche potentiellement des centaines de milliers d’ordinateurs en une seule fois.
La demande de rançon atteint encore une fois des sommets : 70 millions de dollars en Bitcoin pour une clé de déchiffrement universelle. Mais cette fois, REvil a vu trop grand. L’ampleur de l’attaque déclenche une mobilisation internationale sans précédent. Le FBI, qui enquêtait déjà discrètement sur le groupe depuis des mois, accélère ses opérations. Selon plusieurs sources officielles, les agents fédéraux avaient en fait déjà infiltré certains serveurs de REvil et possédaient une clé de déchiffrement universelle obtenue lors d’une opération secrète.
Dans un coup de théâtre digne d’un film d’espionnage, le FBI a gardé secrètement la clé pendant 3 semaines pour ne pas compromettre une opération de démantèlement plus large baptisée “Operation GoldDust”. Les agents veulent identifier tous les membres du groupe avant de frapper.
Ironie du sort, cette précaution s’est avérée inutile car le 13 juillet, les serveurs de REvil disparaissent mystérieusement du darkweb avant même l’intervention des forces de l’ordre. Panique en interne, querelle entre affiliés sur le partage des 70 millions ? Ou simple mesure de précaution face à la pression internationale ?
Le mystère reste entier.
Cette disparition soudaine marque le début de la fin pour l’empire REvil. Privés de leur infrastructure (serveurs de commande et contrôle, sites de négociation, Happy Blog), les affiliés se dispersent vers d’autres groupes comme BlackCat ou tentent de monter leurs propres opérations. Mais les enquêteurs internationaux continuent méthodiquement de remonter les pistes, analysent les transactions Bitcoin via des outils forensics spécial Blockchain, recoupent les métadonnées techniques laissées dans le code, exploitent les erreurs OPSEC des criminels, et identifient progressivement les acteurs clés.
Toutefois, l’histoire ne s’arrête pas là. En septembre 2021, les serveurs REvil réapparaissent brièvement sur le darkweb, suggérant une tentative de relance. Mais cette résurrection est de courte durée : les serveurs sont rapidement compromis, probablement par les forces de l’ordre qui avaient conservé l’accès. Certains affiliés se plaignent même que leurs portefeuilles Bitcoin ont été vidés, suggérant que les autorités ou des acteurs malveillants ont pris le contrôle total de l’infrastructure.
Puis en novembre 2021, le Département de la Justice américain frappe fort en révélant les identités de 2 figures majeures du groupe. Yaroslav Vasinskyi, jeune Ukrainien de 22 ans arrêté en Pologne, est accusé d’être l’auteur direct de l’attaque Kaseya et de plus de 2500 autres infections via son handle “Profcomserv”. Les enquêteurs révèlent qu’il a demandé personnellement plus de 700 millions de dollars en rançons! Yevgeniy Polyanin, Russe de 28 ans toujours en fuite, aurait quant à lui orchestré environ 3000 attaques pour un total de 13 millions de dollars sous le pseudo “LK4D4”. Les portraits qui émergent révèlent des individus remarquablement jeunes pour de telles responsabilités criminelles mais techniquement brillants.
Le coup de grâce arrive enfin le 14 janvier 2022 avec une opération coordonnée sans précédent. Dans un revirement géopolitique surprenant (on est en pleine crise Ukraine-Russie), le FSB russe annonce l’arrestation de 14 membres présumés de REvil lors de raids simultanés à Moscou, Saint-Pétersbourg, Lipetsk, Voronezh et Leningrad. Les forces spéciales russes diffusent des vidéos hollywoodiennes de l’opération : hélicoptères, commandos cagoulés, portes défoncées à l’explosif. Ils saisissent plus de 426 millions de roubles (6,6 millions de dollars), 600 000 dollars en liquide, des cryptomonnaies, 20 véhicules de luxe dont des McLaren et Mercedes, et des équipements informatiques sophistiqués.
– Image diffusée par le FSB lors des arrestations de membres REvil à Moscou
Cette coopération inhabituelle entre la Russie et les États-Unis dans la lutte contre la cybercriminalité marque un tournant historique. Traditionnellement, Moscou protège ses hackers tant qu’ils évitent de cibler des intérêts russes (la règle non-écrite du “ne chie pas où tu manges”). Mais l’ampleur des dégâts causés par REvil, les pressions diplomatiques américaines intenses, la volonté de montrer sa bonne foi avant les négociations sur l’Ukraine, et peut-être le fait que certains affiliés REvil aient commencé à cibler des entreprises russes ont visiblement pesé dans la balance.
L’histoire de REvil illustre parfaitement l’évolution de la cybercriminalité moderne vers des structures quasi-industrielles. Leur innovation technique majeure, la double extorsion, est désormais adoptée par la quasi-totalité des nouveaux groupes de ransomware (LockBit 3.0, BlackCat/ALPHV, Clop, etc.). Le modèle RaaS qu’ils ont perfectionné avec des dashboards professionnels, du support technique, et même des programmes de “bug bounty” pour leurs affiliés continue de prospérer sous d’autres bannières. Et leurs successeurs spirituels appliquent les mêmes recettes avec des sophistications toujours croissantes.
Sur le plan géopolitique, l’affaire REvil révèle également les limites du “sanctuaire numérique russe”. Pour la première fois, Moscou a accepté d’agir contre ses propres hackers, même si c’est dans un cadre strictement contrôlé et probablement temporaire. Cette évolution suggère que la pression internationale peut effectivement contraindre même les États les plus réticents à agir contre les cybercriminels opérant depuis leur territoire, du moins quand les enjeux deviennent trop importants.
Et il ne faut jamais oublié que même les groupes les plus sophistiqués commettent des erreurs fatales. Leurs similitudes de code avec GandCrab (réutilisation de fonctions identiques), les chemins de débogage oubliés dans le code source, les métadonnées dans les échantillons de malware, et probablement des pratiques de sécurité opérationnelle défaillantes (réutilisation d’infrastructures, patterns de communication identifiables) ont permis aux enquêteurs de remonter jusqu’aux individus physiques.
Dans un univers où l’anonymat est crucial, ces négligences se paient cash.
Bref, l’histoire de REvil/Sodinokibi restera comme celle d’un empire cybercriminel qui a poussé trop loin ses ambitions et pour les entreprises et les particuliers, la leçon est claire : investissez massivement dans votre cybersécurité (sauvegardes offline, segmentation réseau, patches à jour, formation des employés), car les successeurs de REvil préparent déjà leurs prochains coups… Et croyez-moi, ils seront encore plus malins et prudents que leurs prédécesseurs !
– Sources :
Wikipedia - REvil, US Department of Justice - Kaseya Ransomware Arrest
https://korben.info/revil-sodinokibi-empire-cybercriminel-ransomware.html
