Bitdefender en partenariat avec les forces de l'ordre fait économiser 500 millions aux victimes de REvil

Il y a plus de trois ans, en février 2018, l'équipe Bitdefender DRACO a publié le premier outil de déchiffrement pour les ransomwares GandCrab. Publié juste un mois après l'émergence des premiers échantillons de cette offre extrêmement puissante de ransomware-as-a-service (RaaS), cela a marqué le début d'un partenariat complexe avec les forces de l'ordre du monde entier sur un engagement fort pour lutter contre les ransomwares.

Aujourd'hui, les autorités roumaines ont arrêté deux affiliés à la famille de ransomwares Sodinokibi/REvil responsables de 5 000 infections. Depuis février 2021, les forces de l'ordre ont arrêté trois autres affiliés de Sodinokibi/Revil, portant à cinq le total des arrestations de Sodinokibi, ainsi que deux suspects liés à GandCrab. Ce sont les résultats de l'opération GoldDust, un effort coordonné impliquant 19 organisations d'application de la loi (en Australie, Belgique, Canada, France, Allemagne, Pays-Bas, Luxembourg, Norvège, Pologne, Roumanie, Corée du Sud, Suède, Suisse, Koweït , Royaume-Uni et États-Unis, ainsi qu'Europol, Interpol et Eurojust).

REVil (alias Sodinokibi) en 30 secondes

Abréviation de Ransomware Evil, REvil est une opération RaaS privée qui a vu le jour en 2019. Profondément liée au groupe GandCrab, aujourd'hui disparu, REvil s'appuie sur des sociétés affiliées pour infecter les entreprises et extorquer de l'argent. Depuis 2019, REvil s'est fait un nom et est devenu la variante de ransomware la plus courante au deuxième trimestre 2021.

REvil a réussi à compromettre des milliers d'entreprises dans le monde et était connu pour extorquer des paiements beaucoup plus importants aux victimes que le prix moyen du marché. Les entreprises qui n'ont pas payé et ont tenté de restaurer à partir de sauvegardes ont été victimes de chantage à la publication de leurs informations confidentielles volées.

En collaboration avec un partenaire de confiance des forces de l'ordre, Bitdefender a publié un déchiffreur universel gratuit pour les attaques REvil survenues avant le 13 juillet 2021. Depuis la mi-septembre de cette année, le déchiffreur Sodinokibi / REvil a aidé plus de 1 400 entreprises dans 83 pays à récupérer leurs fichiers et à économiser plus de 550 millions de dollars en rançon impayée. La rançon moyenne est d'environ 393 000 $, bien plus que la rançon moyenne de GandCrab qui se situe entre 800 $ et 2400 $.

Téléchargez ici notre outil de déchiffrement gratuit : https://download.bitdefender.com/am/malware_removal/BDREvilDecryptor.exe

L'équipe Bitdefender DRACO a fourni des conseils et en matière de cybersécurité, en particulier dans les domaines de la cryptographie, de la criminalistique et des enquêtes, qui ont aidé le consortium des forces de l'ordre dans à minimiser l'impact des attaques réussies de ransomware, et ont finalement conduit à des arrestations. Ce partenariat avec les forces de l'ordre est un excellent exemple de la collaboration des secteurs public et privé pour perturber de manière significative les activités de cybercriminalité.

Les victimes existantes peuvent télécharger le déchiffreur REvil et récupérer leurs données. Si vous avez été victime d'une attaque de ransomware, nous vous conseillons de ne pas payer la rançon et d'informer vos autorités locales de cet incident de sécurité.

Bonnes pratiques concernant les ransomwares

• Les attaques de ransomware commencent généralement par l'hameçonnage (phishing par e-mail) et l'ingénierie sociale.
• Éduquez et formez en permanence les employés sur les dangers de cliquer sur des liens et d'ouvrir des pièces jointes provenant de sources inconnues.
• Assurez-vous que les plates-formes de sécurité telles que la détection et la réponse des points de terminaison (EDR) et la détection et la réponse étendues (XDR) sont mises à jour avec des indicateurs de compromission (IOC) pour rechercher REvil et d'autres familles de ransomwares populaires.
• Envisagez le modèle de détection et de réponse gérées (MDR) pour compléter la capacité des équipes de sécurité internes à effectuer des chasses actives aux menaces.
• Réduisez votre surface d'attaque et assurez-vous que les services hérités ou d'autres services inutiles (tels que RDP) ne sont pas exposés à Internet.

Si vous êtes un organisme d'application de la loi ayant besoin d'une expertise technique dans les cas de ransomware, veuillez nous contacter à l'adresse [email protected]