Le site de fuite de données employé par les opérateurs de malwares Sodinokibi (REvil) est à nouveau en service. Telle est la découverte que des analystes en cybersécurité ont récemment faite. Un hacker responsable de quelques récentes cyberattaques de grande envergure semblait au moins imiter le procédé utilisé par ce gang.
Un nouveau site de fuite d’informations confidentielles utilisé par le cybergang Sodinokibi/REvil avait été exposé en avril 2022 sur RuTOR. Ce dernier est un forum d’une marketplace spécialisée dans les zones russophones. Cette mise en avant, Soufiane Tahiri, ingénieur sécurité de l’information chez Cdiscount, et les chercheurs en sécurité pancak3 l’avaient observée.
Les experts IT présentant un de ces deux profils peuvent devenir Consultant informatique indépendants. En se mettant à leur propre compte, ils profiteront par exemple d’une meilleure rémunération et d’une plus grande flexibilité. En effet, les freelances sont libres de gérer leurs différents projets à leur guise. Tant ils exercent leur activité en l’absence de supérieur hiérarchique.
Un lien contient des détails sur des offensives anciennes du cybergang
Nommé Happy Blog , ledit site de leak, redirige vers celui dont Sodinokibi se servait quand il était encore actif. Pourtant, il est hébergé sur un tout autre domaine. D’ailleurs, les chercheurs en sécurité ont partagé une capture vidéo prouvant une réorientation effective. Ce site renferme des renseignements sur les clauses d’affiliation des acteurs mal intentionnés afin d’obtenir :
- Une version plus dangereuse de Sodinokibi ;
- Le partage des gains des sommes de rançons soutirées ou encaissées (80/20).
Ces informations s’avèrent intéressantes, sachant que cette URL comprend des détails sur des attaques précédentes de REvil . Il contient également des données liées à un hacking beaucoup plus récent mené contre la compagnie pétrolière Oil India . Une offensive qui a été confirmée par la société, qui a reçu une demande de rançon d’au moins 196 bitcoins. Ce qui représente l’équivalent de 8 millions de dollars.
Lorsque cette affaire était dévoilée, Soufiane Tahiri s’était posé des questions sur l’acteur s’étant présenté comme le responsable du piratage. Jusqu’alors, cet individu était inconnu des spécialistes de la cybersécurité .
Un hacker a redirigé un lien de Revil sur son site vitrine
L’ingénieur en sécurité de l’information chez Cdiscount avait ainsi soupçonné un assaillant qui avait imité REvil. À part lui, d’autres analystes ont formulé plusieurs interrogations. La MalwareHunterTeam s’intéressait également à cet usurpateur recourant au logiciel malveillant Sodinokibi.
À la différence de ses semblables, le site vitrine de l’auteur de l’attaque ne montre pas de nom. Il fournit un fil RSS , mais l’en-tête apporté par ce flux, corpleaks.com, fait référence à Nefilim . Un groupe de cybercriminels qui n'existe déjà plus. La présence de cette balise surprend. D’autant plus que l’origine de cette réincarnation de site de leak Sodinokibi dévoile le recours au témoin de connexion DEADBEEF. Un cookie utilisé par le cybergang TesmaCrypt.
Pratiquement vide début avril 2022, ledit site vitrine a été depuis bondé de revendications. La MalwareHunterTeam révèle que quelques-unes de ces dernières semblent ne constituer que des reproductions de l’ancienne vitrine de Sodinokibi .
Cependant, de manière étonnante, le lien Tor de cette dernière a constamment réorienté ses vitrines vers celle de l’usurpateur. D’après la MalwareHunterTeam, cette redirection s’appliquait également au domaine Tor dont Sodinokibi se servait dans le passé pour les accords. L’installation d’une pareille réorientation sous-entend qu’un individu ayant détenu un accès même partiel au système du cybergang y a contribué .