Planète Warez

@BahBwah Ou ai je dis qu’il etait vivant en 2025, je disais simplement que tout comme les exfiltrés de l’operation paperclip, il a pu etre exfiltré d’allemagne et vivre encore au moins 20 aou 30 ans… Soit au bas mot 1970 ce qui lui ferait que 80 ans…
Eva braun n’a jamais eu d’enfants avec Adolf, car adolf etait homosexuel, mais elle a “suicidé” des enfants qui vivaient avec elle, somnifere pour commencer et capsule de cyanure pour finir le travail…

Doit on rappeler que faire du materiel connecté aux USA leur a joué un mauvais tour. des clims qui refusent de demarrer avec un avertissement “urgence climatique”, c’est justement l’ingérence absolue.
Ce qui aussi n’est pas un fake ni du complotisme, c’est la fonction peu documentée de délestage du Linky, qui contrairement a un compteur classique noir, bleu ou blanc, possede un disjonteur interne “officiellement” destiné a couper l’alimentation électrique en cas de depassement du calibre de puissance de l’abonnement, mais utilisable aussi pour ce qu’on appelle du delestage selectif. Il est devenu tres simple rapide avec le Linky de couper toute ou partie de l’alimentation d’une ville, d’un quartier ou d’une rue en selectionnant un PDL, un groupe de PDL et de les couper en une seule action. Dernierement trois rues de mon village alilmentées par un seul et unique cable principal se sont retrouvées sans electricité, a part trois commerces qui comme des iles isolées, ont pu continuer a fonctionner parfaitement. La raison “officielle” un boitier de raccordement defectueux…

Autre probleme, les kits de panneaux PV reliés a des micro onduleurs qui ne fournissent de l’electricité que si l’onduleur detecte qu’il est relié sur le reseau et s’y connecte de maniere synchrone. Donc quid de l’autonomie… a part d’installer un micro generateur de 50Hz sinus pour faire croire a cet onduleur qu’il est bien sur le reseau, et ni vu ni connu je t’embrouille o,n peut recupeerer la fonction “off-grid” de ces onduleurs… une alim 12V, une paire de mosfet, un transfo 10VA 12V-230V un generateur de signal PWM pour recreer un signal sinus en 50Hz et une batterie pour alimenter le bazar, simple precis et efficace, ca evite d’acheter un onduleur classique.

Je commence a comprendre ceux qui veulent de l’autonomie malgré des fois des choix alambiqués… Et souvent l’autonomie meme pour des puissances faibles, un simple frigo qu_i consomme moyenné a l’heure 50W necessite des batteries LiFe de 2.5KW et entre 400 et 800Wh de puissance de panneaux pour pouvoir eviter un blackout en cas de mauvais ensoleillement. etre autonome, ca a des contingences, et un prix.

@Aerya a dit dans [Aide] Tigers :

Max s’est encore fait la malle avec les dons ? 🙂

Sacré Bouchard 🤣

@BahBwah

Ho mon Dieu tout part en yeuk ^^.
Être de grands connards en mode cheat code est devenu la norme pour pouvoir diriger cette planète…y’a plus de valeur à l’ancienne du genre “Protéger la veuve et l’orphelin”…tout est en mode coups bas, les coups de Trafalgar (et pour ce qui est de la convention de Genève…ces gars là se torchent le cul avec).

Pour Evolved World, il est bien fermé depuis mai 2025.

Bien à vous tous

https://www.tdg.ch/cybersecurite-un-specialiste-raconte-une-cyberattaque-116242383216

5aa9db86-05f8-48c0-af31-fe70f11bc898-image.png

Quelques photos ont révélé l’existence d’une probable nouvelle “arme secrète” chinoise : un ékranoplane d’un nouveau genre. Cette technologie a été développée par l’Union soviétique, mais très peu de ces appareils hybrides, entre un avion et un navire rapide, ont été construits.

Il existe des engins militaires presque aussi mystérieux que le monstre du Loch Ness, à ceci près que, même lorsque l’on ne dispose que de quelques photos floues, ils s’avèrent bien plus concrets. C’est le cas de ce qui semble bien être un nouvel ekranoplane construit par la marine chinoise.

L’ekranoplane, avion et navire

Ce genre d’engin est aussi fascinant que rarissime dans l’histoire de l’ingénierie. Imaginés durant la Guerre froide par l’ingénieur soviétique Rostislav Alekseïev, les ekranoplanes sont techniquement des avions “à effet de sol”, qui “volent” au-dessus d’une surface d’eau d’une manière assez similaire à un aéroglisseur.

Si la technologie fonctionne, très peu de ces appareils ont été construits, et encore moins utilisés. Le plus célèbre reste le “monstre de la Caspienne”, un ékranoplane de 100 m de long pour 550 tonnes, surnommé ainsi par les Américains, qui s’interrogeaient sur cet étrange appareil sur leurs images satellites. Achevé en 1966, l’engin était propulsé par dix moteurs à trois mètres au-dessus de l’eau. Il s’est écrasé en 1980.

Un vrai monstre mythologique, donc, mais c’est pourtant un nouvel ékranoplane qui est apparu sur les réseaux sociaux chinois. Quelques images floues seulement, mais qui suffisent à Naval News pour déterminer qu’il s’agit là d’un nouvel appareil équipé de quatre réacteurs et non d’une relique soviétique.

Son nom, sa désignation et son fabricant n’ont pas encore été révélés. En attendant d’en savoir plus, il a été surnommé le “monstre de Bohai”, du nom du golfe où il a été observé, et en hommage à son ancêtre soviétique détruit en Caspienne.

Un ekranoplane, mais pour quoi faire?

Reste la question de son usage. Le “monstre de la Caspienne” devait servir de plateforme lance-missiles antinavires. Plus tard, des ékranoplanes ont été envisagés comme des transports rapides sur les mers fermées et les eaux côtières, un peu comme une sorte de Concorde des mers. Car le principal avantage d’un avion à effet de sol, c’est qu’il peut évoluer très vite grâce à l’absence de frottement avec la surface.

Le modèle russe à dix places Ivolga de 1999 pouvait atteindre les 180 km/h, ce qui est énorme par rapport à un navire. Avant lui, le A-90 Orlyonok devait pouvoir à la fois évoluer comme un avion jusqu’à 3.000 m d’altitude, et comme un hydravion à grande vitesse. Mais quatre seulement de ces engins d’assaut amphibie ont été construits.

Un engin rapide et indétectable

On peut supposer que la Chine a construit un ekranoplane moderne pour les mêmes raisons que celles envisagées par les Soviétiques en leur temps. Et celles-ci pourraient donc bien être militaires, selon le média spécialisé The Warzone.

Comme cet engin vole au-dessus de l’eau, il n’est pas vulnérable aux mines, torpilles, et autres drones kamikazes flottants. En outre, il est invisible aux radars grâce à sa très basse altitude. Il peut donc s’avérer très intéressant pour des opérations côtières rapides, pour débarquer ou ravitailler des troupes de l’autre côté d’un bras de mer, ou encore pour des opérations de sauvetage.

Comme il s’agit d’un projet chinois, on ne peut oublier qu’il a sans doute été construit dans l’idée de servir un jour dans une opération contre Taïwan.

Source: https://www.7sur7.be/tech/ce-que-lon-sait-du-monstre-de-la-mer-de-bohai-letrange-appareil-mi-avion-mi-navire-mis-au-point-par-la-chine~a94511e3/

Bienvenue @PouetPouet !
J’avais utilisé votre outil pour Uptobox peu de temps avant la fermeture 😞
Si vous avez des clés à partager en MP, je serais content de tester votre nouvelle extension.

Vous n’en avez peut-être pas conscience, mais c’est le 2 novembre 1988, qu’Internet a perdu son innocence. Ce jour-là, un étudiant de Cornell a lâché dans la nature un programme qui allait mettre à genoux 10% du réseau mondial et changer à jamais notre perception de la sécurité informatique.

Son nom ? Robert Tappan Morris. Et son arme ? Un ver informatique qui porte aujourd’hui son nom.

Derrière cette attaque qui a fait trembler les 60 000 ordinateurs connectés à l’époque (oui, c’est tout !), se cache une histoire bien plus complexe qu’un simple acte de vandalisme numérique. C’est l’histoire d’un fils de génie, d’une expérimentation qui a mal tourné, et d’une prise de conscience collective qui a façonné l’Internet que nous connaissons aujourd’hui.

Robert Tappan Morris Jr. n’était pas n’importe qui. Né le 8 novembre 1965, ce jeune prodige a baigné dans l’informatique depuis son plus jeune âge. Et pour cause, son père, Robert Morris Sr., était une légende vivante de la cryptographie. Chercheur chez Bell Labs de 1960 à 1986, papa Morris a contribué au développement d’Unix, créé le langage dc, le programme crypt, et même conçu le système de chiffrement des mots de passe Unix. Un CV qui fait rêver, non ?

– Robert Tappan Morris en 2008

Mais attendez, ça devient encore plus intéressant puisqu’au moment où le jeune Robert écrivait son fameux ver, son père occupait le poste de Chief Scientist au National Computer Security Center de la NSA. Oui, vous avez bien lu, pendant que le fils hackait Internet, le père était le responsable scientifique de la sécurité informatique de l’agence de renseignement américaine la plus puissante.

Ironie du sort ou coïncidence embarrassante ? À vous de décider.

Le jeune Morris avait lui-même un parcours brillant. Diplômé de Harvard en juin 1988, il était arrivé à Cornell pour poursuivre ses études en informatique. Mais voilà, notre ami avait une idée derrière la tête : créer un programme capable de se propager automatiquement sur le réseau pour en mesurer la taille. Une sorte de recensement numérique, en quelque sorte. Noble intention ? Peut-être. Exécution catastrophique ? Totalement.

Le 2 novembre 1988, à 20h30 précises donc, Morris junior lance son ver depuis le MIT. Pourquoi le MIT alors qu’il étudiait à Cornell ? C’est simple, il espérait brouiller les pistes et faire croire que l’attaque venait du Massachusetts. Malin, mais pas suffisamment pour échapper au FBI qui remontera rapidement jusqu’à lui.

– Le MIT d’où Robert Morris a lancé son ver.

Techniquement parlant, le ver Morris était une vraie petite merveille d’ingéniosité car il exploitait plusieurs vulnérabilités des systèmes Unix de l’époque. D’abord, il s’attaquait à une backdoor dans le mode debug du programme sendmail. Cette porte dérobée avait été laissée par Eric Allman, le créateur de sendmail, qui l’avait mise en place en 1985 pour pouvoir débugger son programme sur des machines où les administrateurs ne lui donnaient pas accès. Il avait juste oublié de la retirer avant la distribution massive du programme. Oups !

Ensuite, le ver exploitait un buffer overflow dans le service finger. C’était l’une des premières utilisations malveillantes connues de cette technique qui allait devenir le pain quotidien des hackers pendant des décennies.

Mais le plus beau là-dedans, c’est la méthode de propagation par mot de passe. Le ver contenait un dictionnaire de 900 mots de passe courants et pouvait tester des variations simples comme le nom d’utilisateur inversé. Il récupérait le fichier des mots de passe chiffrés et tentait de les craquer systématiquement. Si ça marchait, il utilisait ces identifiants pour se connecter à d’autres serveurs où l’utilisateur avait un compte. Très malin encore une fois !

Le ver exploitait aussi les connexions sans mot de passe via rsh et rexec, une pratique courante à l’époque où la confiance régnait encore sur le réseau.

Pourtant, Morris avait prévu un mécanisme pour éviter que son ver ne surcharge les machines. Avant d’infecter un système, le programme vérifiait s’il était déjà présent. Le problème c’est que Morris craignait que des administrateurs malins ne créent de fausses réponses positives pour se protéger, du coup, il a programmé son ver pour se réinstaller quand même dans 14% des cas, peu importe la réponse.

Résultat, les machines se retrouvaient infectées des dizaines de fois, ralentissant jusqu’à devenir complètement inutilisables. Et en 24 heures, environ 6 000 des 60 000 ordinateurs connectés à Internet étaient touchés. C’est pas top quand au départ on voulait juste compter les machines…

Vous vous en doutez, l’impact a été immédiat et dévastateur. Des universités prestigieuses comme Harvard, Princeton, Stanford, Berkeley, le MIT et bien sûr Cornell ont vu leurs systèmes tomber les uns après les autres. La NASA, le Lawrence Livermore National Laboratory et même des installations militaires ont été touchés. Le coût estimé pour nettoyer chaque installation variait entre 200 et 53 000 dollars. Au total, les dégâts ont été évalués entre 100 000 et 10 millions de dollars. Rien que ça…

– Le code source du ver est exposé au Computer History Museum

Fun fact, c’est grâce à cette attaque que le New York Times a utilisé pour la première fois le terme “Internet” dans ses colonnes le 5 novembre 1988, le décrivant comme “des systèmes reliés par un groupe international de réseaux de communications informatiques”. Avant ça, on parlait plutôt d’ARPANET ou de “réseau de réseaux”.

Morris s’est alors rapidement rendu compte que son expérience avait dérapé. Paniqué, il a contacté un ami pour qu’il envoie un message anonyme expliquant comment arrêter le ver. Mais c’était trop tard… le réseau était déjà largement paralysé et le message n’a pas pu circuler.

Le FBI ne mit pas longtemps à remonter jusqu’à lui et Morris devint ainsi la première personne poursuivie et condamnée en vertu du Computer Fraud and Abuse Act de 1986. En décembre 1990, il écopa de trois ans de mise à l’épreuve, 400 heures de travaux d’intérêt général et 10 050 dollars d’amende. Il a échappé à la prison, mais sa réputation était faite.

L’incident a eu des conséquences majeures pour l’écosystème Internet. La DARPA a financé la création du CERT/CC (Computer Emergency Response Team Coordination Center) à Carnegie Mellon, donnant aux experts un point central pour coordonner les réponses aux urgences réseau. C’était le début de l’ère de la cybersécurité moderne.

Et Morris dans tout ça ? Et bien contre toute attente, il a rebondi de manière spectaculaire. Il a co-fondé Viaweb avec Paul Graham et Trevor Blackwell, l’une des premières applications web qui sera rachetée par Yahoo! pour devenir Yahoo! Store. Il a ensuite co-fondé Y Combinator, l’incubateur de startups le plus prestigieux de la Silicon Valley qui a lancé Dropbox, Airbnb, Reddit et des dizaines d’autres succès.

En 2006, Morris a obtenu un poste de professeur titulaire au MIT, dans le département d’ingénierie électrique et d’informatique. L’homme qui avait lancé son attaque depuis le MIT pour brouiller les pistes y enseigne donc maintenant officiellement. Puis en 2019, il a été élu à la National Academy of Engineering, consécration ultime pour un ingénieur américain.

Son père, Robert Morris Sr., est décédé en 2011 à l’âge de 78 ans, laissant derrière lui un héritage remarquable en cryptographie et sécurité informatique. Il avait même participé à la cyber-offensive contre Saddam Hussein avant la guerre du Golfe de 1991. Bref, une famille de hackers au service du bien et du mal, en quelque sorte.

Le ver Morris reste un moment charnière dans l’histoire d’Internet. Il a marqué la fin de cette époque bénie où on pouvait faire confiance par défaut et aujourd’hui, aucun acteur sérieux de l’informatique ne considère la sécurité comme optionnelle. Les pare-feu, antivirus, systèmes de détection d’intrusion et autres mesures de protection sont devenus la norme.

Bref, si vous vous connectez aujourd’hui à Internet sans craindre qu’un ver ne paralyse votre machine en quelques minutes, c’est bizarrement aussi grâce à Robert Morris et son expérience ratée de 1988.

– Source :

https://korben.info/robert-morris-ver-informatique-histoire.html

Sortez vos vélos !

Lire des lettres minuscules à plus d’un kilomètre de distance, sans zoom ni caméra ? C’est désormais possible grâce à une technologie laser révolutionnaire développée en Chine, qui reconstruit l’image à partir de la lumière réfléchie.

La distance optimale pour lire un livre est d’environ 40 cm. Mais que dire d’un livre placé à… 1,3 kilomètre de distance ? Sa lecture est aujourd’hui rendue possible par une équipe de recherche de l’Université des sciences et technologies de Chine à Hefei. Pas avec un télescope géant, ni une caméra ultra-HD, mais avec un dispositif laser, qui ne zoome pas, mais reconstruit l’image par ordinateur. Oui, vous avez bien lu (et le laser aussi).

Un scanner laser meilleur qu’un télescope

Leur système s’appuie sur une technique issue de l’astronomie : l’interférométrie, qui consiste à superposer plusieurs ondes lumineuses pour révéler des motifs d’interférence. Ces motifs contiennent des informations sur la forme, la taille ou la texture d’un objet observé. Mais ici, au lieu de capter la lumière naturelle d’une étoile comme dans les observatoires, les chercheurs utilisent huit faisceaux laser infrarouges pour éclairer activement la cible, à la manière d’un scanner lumineux à distance.

Deux télescopes, placés à plusieurs mètres l’un de l’autre, récupèrent la lumière réfléchie. Ce qu’ils enregistrent n’est pas une image classique, mais un signal d’intensité fluctuant, façonné par les interférences entre les faisceaux. C’est cette variation qui est ensuite reconstruite par algorithme, pour faire apparaître les plus fins détails de l’objet ciblé. On parle alors d’interférométrie d’intensité active : un croisement entre optique, physique ondulatoire et calcul numérique, qui permet de voir au loin, sans zoomer. Le résultat : à 1,36 km, les chercheurs ont pu lire des lettres hautes de seulement 3 millimètres. À cette même distance, un télescope classique ne pourrait voir que des détails de 42 mm. Autrement dit, leur système est 14 fois plus précis que l’optique traditionnelle.

Des lunettes peu sensibles aux variations atmosphériques

Mais ce n’est pas qu’un exploit de laboratoire. Cette technologie a un autre atout : elle est nettement moins sensible aux perturbations atmosphériques. Là où la chaleur, l’humidité ou la poussière brouillent l’image captée par une caméra, ici, les distorsions sont en grande partie filtrées numériquement.

Encore à l’état de prototype, le dispositif reste encombrant, nécessite un alignement précis entre lasers et capteurs, ainsi que des conditions d’observation idéales (pas d’obstacle et une bonne capacité de la cible à réfléchir la lumière). Mais les chercheurs ont annoncé travailler sur une version portable, autonome, assistée par intelligence artificielle, capable de s’adapter aux aléas du terrain.

Certes, un tel œil numérique soulève aussi des questions, notamment sur les dérives possibles en matière de surveillance. Mais bien encadrée, cette technologie pourrait surtout ouvrir une nouvelle ère de la vision à distance. Et les applications potentielles ne manquent pas : surveillance d’infrastructures industrielles, lecture d’inscriptions archéologiques inaccessibles, observation de la faune sans la perturber, ou encore détection de débris spatiaux. Une sacrée paire de lunettes…

Source: https://www.usinenouvelle.com/article/ce-laser-peut-lire-un-livre-a-plus-d-un-kilometre-de-distance.N2234251

Encore une arme de paix ?

Salut , belle présentation , bienvenue sur PW.

text alternatif

Si les ransomwares étaient des films Marvel, REvil serait clairement du niveau de Thanos dans Avengers. Pas juste un méchant lambda qui veut dominer le monde, mais un stratège qui a construit un empire, recruté des sbires partout sur la planète, et qui a failli réussir à prendre en otage l’économie mondiale. Sauf que contrairement au MCU, cette histoire est bien réelle et s’est terminée par des arrestations spectaculaires. Du délire !

– Message de rançon typique affiché lors d’une infection REvil (source)

Entre 2019 et 2022, le groupe REvil (aussi connu sous le nom de Sodinokibi) a réinventé l’art du chantage numérique en mettant au point la double extorsion et en perfectionnant le modèle de “Ransomware-as-a-Service”. Ces génies du mal russo-ukrainiens ont ainsi gagné plus de 200 millions de dollars en rançons (oui, 200 MILLIONS!), paralysé des milliers d’entreprises mondiales, et forcé les gouvernements à repenser complètement leur approche de la cybersécurité.

Leur chute spectaculaire nous offre un thriller digne des meilleurs romans d’espionnage, avec des rebondissements géopolitiques, des erreurs techniques fatales, et une coopération internationale inédite entre le FBI et le FSB russe.

– Les similitudes entre GandCrab (gauche) et REvil (droite) ne sont pas une coïncidence (source)

Du coup, l’histoire commence en avril 2019, quand les experts en cybersécurité détectent un nouveau ransomware particulièrement sophistiqué. Premier indice troublant : ce malware apparaît exactement au moment où GandCrab, l’un des ransomwares les plus prolifiques de l’époque, annonce sa “retraite”.

Coïncidence ? Pas vraiment.

Les analyses techniques révèlent rapidement que les fonctions de décodage de chaînes utilisées par REvil sont quasi-identiques à celles de GandCrab. Plus troublant encore, certains échantillons contiennent des références à “gcfin” dans leurs chemins de débogage, probablement pour “GandCrab Final”. Les mêmes développeurs avaient simplement rebrandé leur création.

Cette continuité n’est pas anodine car GandCrab avait déjà popularisé le modèle Ransomware-as-a-Service (RaaS). Plutôt que de mener les attaques eux-mêmes, les développeurs de REvil ont créé une véritable franchise criminelle. Le principe est diablement efficace : ils fournissent le ransomware hyper sophistiqué à des “affiliés” qui se chargent de l’installer chez les victimes, puis se partagent les profits selon un pourcentage négocié (généralement 70% pour l’affilié, 30% pour les développeurs). Cette approche permet de démultiplier les attaques tout en réduisant les risques pour les créateurs originaux. Y’a même un support technique 24/7 sur le darkweb, c’est vous dire le niveau de professionnalisation!

Mais REvil ne s’est pas contenté de reprendre la recette de GandCrab. En 2020, ils ont introduit une innovation qui va terroriser le monde des entreprises : la double extorsion. Traditionnellement, les ransomwares se contentent de chiffrer les fichiers et demandent une rançon pour la clé de déchiffrement. REvil a ajouté une étape supplémentaire : avant de chiffrer, ils volent massivement les données sensibles (on parle de téraoctets de données exfiltrées via des serveurs compromis). Si la victime refuse de payer ou tente de restaurer ses sauvegardes, ils menacent de publier tous les documents confidentiels sur leur site “Happy Blog”.

Et cette tactique s’avère redoutablement efficace. Même les entreprises avec d’excellentes sauvegardes se retrouvent coincées car elles ne peuvent pas récupérer leurs secrets commerciaux, données clients, ou informations stratégiques une fois publiés. Le chantage devient double : “payez pour récupérer vos fichiers ET pour qu’on ne ruine pas votre réputation”. L’impact psychologique est énorme et les taux de paiement explosent. Du coup, tous les autres groupes de ransomware se mettent à copier cette technique.

Les méthodes d’infiltration de REvil évoluent rapidement et montrent une sophistication technique impressionnante. Initialement, ils exploitent une vulnérabilité critique dans Oracle WebLogic (CVE-2019-2725) pour s’implanter dans les serveurs d’entreprise. Puis ils diversifient leurs vecteurs d’attaque : campagnes de spam avec pièces jointes malveillantes (souvent des documents Office avec macros), attaques par force brute sur les connexions RDP mal sécurisées (ils scannent littéralement tout Internet pour trouver des ports 3389 ouverts), exploitation de failles zero-day dans les logiciels de gestion informatique.

Leur arsenal technique impressionne même les experts puisque le ransomware utilise l’algorithme de chiffrement Salsa20 avec des clés RSA-2048 pour la protection (quasi impossible à casser), peut détecter et contourner plus de 40 solutions antivirus différentes, s’adapte automatiquement aux différents environnements système (Windows, Linux, même certains NAS), et optimise automatiquement sa propagation sur les réseaux internes via des techniques de lateral movement. Le malware est même capable de supprimer les shadow copies Windows pour empêcher toute récupération!

L’année 2021 marque l’apogée de REvil avec une série d’attaques spectaculaires qui font la une mondiale. En mars, ils s’attaquent à Acer, le géant taïwanais de l’informatique, et réclament la rançon record de 50 millions de dollars (doublée à 100 millions en cas de refus après 10 jours). L’audace du montant fait sensation dans la communauté cybersécurité. C’est du jamais vu!

Quelques semaines plus tard, c’est Apple qui se retrouve indirectement visé. REvil infiltre Quanta Computer, sous-traitant taïwanais de la pomme qui fabrique les MacBook, et vole les plans détaillés des futurs produits Apple incluant les schémas techniques du nouveau MacBook Pro et de l’Apple Watch. Les cybercriminels publient quelques documents sur leur Happy Blog (incluant des schémas techniques ultra-confidentiels) et menacent de révéler tous les secrets de conception d’Apple si 50 millions ne sont pas versés avant le 1er mai. Tim Cook refuse catégoriquement de négocier, mais l’incident démontre que même les géants technologiques les plus sécurisés ne sont pas à l’abri.

– Le “Happy Blog” de REvil où étaient publiées les données volées, ici les plans d’Apple (source)

L’attaque la plus spectaculaire frappe ensuite JBS Foods le 30 mai 2021. Ce géant de l’agroalimentaire brésilien, premier transformateur de viande au monde avec 150 000 employés, voit tous ses sites américains et australiens paralysés du jour au lendemain. L’arrêt de production menace l’approvisionnement alimentaire de millions d’Américains et fait flamber les prix de la viande de 25% en quelques jours. La Maison Blanche s’en mêle directement et sous pression gouvernementale intense, JBS accepte finalement de payer 11 millions de dollars en Bitcoin pour récupérer ses systèmes. L’incident révèle alors la vulnérabilité des infrastructures critiques et déclenche une prise de conscience politique majeure.

– Diagramme montrant comment REvil se propage (Source)

Mais c’est l’attaque contre Kaseya VSA le 2 juillet 2021 qui marque le tournant. Kaseya développe des logiciels de gestion informatique utilisés par des milliers de Managed Service Providers (MSP) pour administrer les systèmes de leurs clients. En exploitant une vulnérabilité zero-day dans les serveurs Kaseya VSA (CVE-2021-30116), REvil réussit un effet domino inouï : plus de 1500 entreprises clientes dans 17 pays se retrouvent simultanément chiffrées. Les supermarchés Coop en Suède doivent fermer 800 magasins, des écoles en Nouvelle-Zélande sont paralysées, des entreprises partout dans le monde découvrent le message de rançon. C’est du jamais vu dans l’histoire des ransomwares, une attaque qui touche potentiellement des centaines de milliers d’ordinateurs en une seule fois.

La demande de rançon atteint encore une fois des sommets : 70 millions de dollars en Bitcoin pour une clé de déchiffrement universelle. Mais cette fois, REvil a vu trop grand. L’ampleur de l’attaque déclenche une mobilisation internationale sans précédent. Le FBI, qui enquêtait déjà discrètement sur le groupe depuis des mois, accélère ses opérations. Selon plusieurs sources officielles, les agents fédéraux avaient en fait déjà infiltré certains serveurs de REvil et possédaient une clé de déchiffrement universelle obtenue lors d’une opération secrète.

Dans un coup de théâtre digne d’un film d’espionnage, le FBI a gardé secrètement la clé pendant 3 semaines pour ne pas compromettre une opération de démantèlement plus large baptisée “Operation GoldDust”. Les agents veulent identifier tous les membres du groupe avant de frapper.

Ironie du sort, cette précaution s’est avérée inutile car le 13 juillet, les serveurs de REvil disparaissent mystérieusement du darkweb avant même l’intervention des forces de l’ordre. Panique en interne, querelle entre affiliés sur le partage des 70 millions ? Ou simple mesure de précaution face à la pression internationale ?

Le mystère reste entier.

Cette disparition soudaine marque le début de la fin pour l’empire REvil. Privés de leur infrastructure (serveurs de commande et contrôle, sites de négociation, Happy Blog), les affiliés se dispersent vers d’autres groupes comme BlackCat ou tentent de monter leurs propres opérations. Mais les enquêteurs internationaux continuent méthodiquement de remonter les pistes, analysent les transactions Bitcoin via des outils forensics spécial Blockchain, recoupent les métadonnées techniques laissées dans le code, exploitent les erreurs OPSEC des criminels, et identifient progressivement les acteurs clés.

Toutefois, l’histoire ne s’arrête pas là. En septembre 2021, les serveurs REvil réapparaissent brièvement sur le darkweb, suggérant une tentative de relance. Mais cette résurrection est de courte durée : les serveurs sont rapidement compromis, probablement par les forces de l’ordre qui avaient conservé l’accès. Certains affiliés se plaignent même que leurs portefeuilles Bitcoin ont été vidés, suggérant que les autorités ou des acteurs malveillants ont pris le contrôle total de l’infrastructure.

Puis en novembre 2021, le Département de la Justice américain frappe fort en révélant les identités de 2 figures majeures du groupe. Yaroslav Vasinskyi, jeune Ukrainien de 22 ans arrêté en Pologne, est accusé d’être l’auteur direct de l’attaque Kaseya et de plus de 2500 autres infections via son handle “Profcomserv”. Les enquêteurs révèlent qu’il a demandé personnellement plus de 700 millions de dollars en rançons! Yevgeniy Polyanin, Russe de 28 ans toujours en fuite, aurait quant à lui orchestré environ 3000 attaques pour un total de 13 millions de dollars sous le pseudo “LK4D4”. Les portraits qui émergent révèlent des individus remarquablement jeunes pour de telles responsabilités criminelles mais techniquement brillants.

Le coup de grâce arrive enfin le 14 janvier 2022 avec une opération coordonnée sans précédent. Dans un revirement géopolitique surprenant (on est en pleine crise Ukraine-Russie), le FSB russe annonce l’arrestation de 14 membres présumés de REvil lors de raids simultanés à Moscou, Saint-Pétersbourg, Lipetsk, Voronezh et Leningrad. Les forces spéciales russes diffusent des vidéos hollywoodiennes de l’opération : hélicoptères, commandos cagoulés, portes défoncées à l’explosif. Ils saisissent plus de 426 millions de roubles (6,6 millions de dollars), 600 000 dollars en liquide, des cryptomonnaies, 20 véhicules de luxe dont des McLaren et Mercedes, et des équipements informatiques sophistiqués.

– Image diffusée par le FSB lors des arrestations de membres REvil à Moscou

Cette coopération inhabituelle entre la Russie et les États-Unis dans la lutte contre la cybercriminalité marque un tournant historique. Traditionnellement, Moscou protège ses hackers tant qu’ils évitent de cibler des intérêts russes (la règle non-écrite du “ne chie pas où tu manges”). Mais l’ampleur des dégâts causés par REvil, les pressions diplomatiques américaines intenses, la volonté de montrer sa bonne foi avant les négociations sur l’Ukraine, et peut-être le fait que certains affiliés REvil aient commencé à cibler des entreprises russes ont visiblement pesé dans la balance.

L’histoire de REvil illustre parfaitement l’évolution de la cybercriminalité moderne vers des structures quasi-industrielles. Leur innovation technique majeure, la double extorsion, est désormais adoptée par la quasi-totalité des nouveaux groupes de ransomware (LockBit 3.0, BlackCat/ALPHV, Clop, etc.). Le modèle RaaS qu’ils ont perfectionné avec des dashboards professionnels, du support technique, et même des programmes de “bug bounty” pour leurs affiliés continue de prospérer sous d’autres bannières. Et leurs successeurs spirituels appliquent les mêmes recettes avec des sophistications toujours croissantes.

Sur le plan géopolitique, l’affaire REvil révèle également les limites du “sanctuaire numérique russe”. Pour la première fois, Moscou a accepté d’agir contre ses propres hackers, même si c’est dans un cadre strictement contrôlé et probablement temporaire. Cette évolution suggère que la pression internationale peut effectivement contraindre même les États les plus réticents à agir contre les cybercriminels opérant depuis leur territoire, du moins quand les enjeux deviennent trop importants.

Et il ne faut jamais oublié que même les groupes les plus sophistiqués commettent des erreurs fatales. Leurs similitudes de code avec GandCrab (réutilisation de fonctions identiques), les chemins de débogage oubliés dans le code source, les métadonnées dans les échantillons de malware, et probablement des pratiques de sécurité opérationnelle défaillantes (réutilisation d’infrastructures, patterns de communication identifiables) ont permis aux enquêteurs de remonter jusqu’aux individus physiques.

Dans un univers où l’anonymat est crucial, ces négligences se paient cash.

Bref, l’histoire de REvil/Sodinokibi restera comme celle d’un empire cybercriminel qui a poussé trop loin ses ambitions et pour les entreprises et les particuliers, la leçon est claire : investissez massivement dans votre cybersécurité (sauvegardes offline, segmentation réseau, patches à jour, formation des employés), car les successeurs de REvil préparent déjà leurs prochains coups… Et croyez-moi, ils seront encore plus malins et prudents que leurs prédécesseurs !

– Source :

https://korben.info/revil-sodinokibi-empire-cybercriminel-ransomware.html

Ben tu sais que non Mister :ahah: