Le célèbre groupe de hackers REvil, considéré comme mort depuis plusieurs mois, semble refaire surface…
Le groupe affirme avoir touché Midea Group, un important fabricant chinois d’appareils électriques et entreprise du Fortune 500. Les cyberattaquants affirment avoir volé environ 400 Go de données sensibles.
« Il reste à voir si cette réapparition de REvil consiste en d’anciens membres démontrant la même ténacité ou d’un nouveau groupe qui les imiterait en utilisant leur nom et l’infrastructure existante. Nous avons bien détecté un nouveau flux constant de binaires REvil, et il semble que les victimes soient de plus en plus nombreuses, ce qui démontre que le groupe gagne du terrain. Réapparition ou non, cela a attiré notre attention et nous surveillons de près la situation et suivons ce que fait REvil », a commenté pour la rédaction l’expert John Fokker responsable des investigation cyber pour Trellix.
Le groupe REvil, également appelé Sodinokibi ou Sodin, est un gang de ransomware-as-a-service (RaaS), ou ransomware sur abonnement, qui a début ses activités en 2018. En janvier 2022, un tribunal de Moscou avait ordonné le placement en détention provisoire jusqu’à la mi-mars de huit membres du groupe REvil, dont la Russie avait annoncé la veille le démantèlement à la demande des Etats-Unis.
Le groupe avait notamment revendiqué en juillet 2021 l’attaque au rançongiciel visant la société informatique américaine Kaseya.