REvil, neslávne známy ransomvérový kartel stojaci za niektorými z najväčších kybernetických útokov zameraných na JBS a Kaseya, záhadne zmizol z temného webu, čo viedlo k špekuláciám, že zločinecký podnik mohol byť odstránený.
Viaceré stránky darknet a clearnet spravované syndikátom pre počítačovú kriminalitu napojeným na Rusko, vrátane portálov o úniku údajov, vydieraní a platobných portáloch, zostali nedostupné a zobrazovali chybové hlásenie „Onionsite not found“.
Sieťová infraštruktúra skupiny Tor na temnom webe pozostáva z jedného blogu s únikom údajov a 22 webov na hosťovanie údajov. Nie je hneď jasné, čo viedlo k vypnutiu infraštruktúry.
REvil je jednou z najplodnejších skupín ransomware-as-a-service (RaaS), ktorá sa prvýkrát objavila na poli hrozieb v apríli 2019. Ide o evolúciu ransomvéru GandCrab, ktorý zasiahol podzemné trhy začiatkom roka 2018.
„Ak bude REvil trvalo narušený, bude to znamenať koniec skupiny, ktorá bola len tento rok zodpovedná za viac ako 360 útokov na americký verejný a súkromný sektor,“ napísal Brett Callow z Emsisoftu na Twitteri.
Náhly vývoj sa blíži k rozsiahlemu útoku ransomvéru dodávateľského reťazca zameraného na poskytovateľa technologických služieb Kaseya, za ktorý prevzal zodpovednosť REvil (aka Sodinokibi) a požadoval výkupné 70 miliónov dolárov za odomknutie prístupu k šifrovaným systémom výmenou za univerzálny dešifrovací kľúč, ktorý by odomkol všetky údaje obetí.
Katastrofálny útok spôsobil, že ransomvérový gang zašifroval približne 60 poskytovateľov spravovaných služieb (MSP) a viac. 1500 nadväzujúcich podnikov využívajúcich zraniteľnosť nultého dňa v softvéri vzdialenej správy Kaseya VSA. Koncom mája REvil zosnoval aj útok na najväčšieho svetového producenta mäsa JBS, ktorý nakoniec zaplatil vydieračom 11 miliónov dolárov, aby sa z incidentu spamätali.
Výpadok sa tiež zhoduje s telefonátom amerického prezidenta Joea Bidena s ruským prezidentom Vladimirom Putinom minulý týždeň, ktorý vyzval ruského prezidenta, aby podnikol kroky na narušenie skupín ransomvéru pôsobiacich v krajine, pričom varoval pred odvetnými opatreniami na obranu kritickej infraštruktúry.
“Situácia sa stále vyvíja, ale dôkazy naznačujú, že spoločnosť REvil utrpela plánované a súbežné zrušenie svojej infraštruktúry, či už samotnými operátormi, alebo prostredníctvom priemyslu či opatrení činných v trestnom konaní,” povedal John Hultquist z FireEye Mandiant pre CNBC.
Zdá sa, že Happy Blog spoločnosti REvil bol stiahnutý do režimu offline 1 AM EST v utorok, pričom vx-underground poznamenal, že zástupca skupiny, ktorý sa stretáva s verejnosťou, Unknown, od júla neprispieval na populárnych hackerských fórach, ako sú Exploit a XSS 8.
Následne zástupca pre ransomvér LockBit zverejnil na ruskom hackerskom fóre XSS, že útočná infraštruktúra spoločnosti REvil dostala vládnu právnu žiadosť, čo spôsobilo demontáž serverov. “REvil má zakázaný XSS,” dodal neskôr vx-underground.
Nie je nezvyčajné, že skupiny ransomvéru idú pod zem po vysoko medializovaných incidentoch. Po tom, čo sa gang DarkSide v máji zameral na Colonial Pipeline, operátori oznámili plány na definitívne ukončenie svojho pridruženého programu RaaS, pričom tvrdili, že jeho servery zabavil neznámy orgán činný v trestnom konaní, čo vyvolalo otázky, či skupina skutočne odišla do dôchodku alebo zmenila značku. pod novým názvom.
Táto teória bola potvrdená o niekoľko týždňov neskôr, keď americké ministerstvo spravodlivosti minulý mesiac odhalilo, že sa mu podarilo získať späť väčšinu peňazí, ktoré Colonial Pipeline zaplatil skupine DarkSide, prostredníctvom analýzy bitcoinových stôp.
Nevysvetliteľné odstavenie spoločnosti REvil, podobným spôsobom, môže byť aj prípadom plánovaného odchodu do dôchodku alebo dočasného neúspechu, ktorý ho prinúti zdanlivo sa rozpustiť, aby sa nakoniec znovu spojil s novou identitou, aby pritiahol menšiu pozornosť, alebo dôsledkom zvýšeného medzinárodného kontroly v dôsledku globálnej ransomvérovej krízy.
Ak sa skutočne ukáže, že skupina natrvalo uzavrela operácie, tento krok musí nechať ciele skupiny v štichu, bez životaschopných prostriedkov na vyjednanie výkupného a získania dešifrovacích kľúčov potrebných na opätovné získanie kontroly nad ich systémami, teda natrvalo. zablokovanie ich údajov.
“Neviem, čo to znamená, ale bez ohľadu na to som šťastný!” napísala na Twitteri Katie Nickels, riaditeľka spravodajských služieb Red Canary. “Ak ide o zastavenie šírenia vládou – úžasné, konajú. Ak sa herci dobrovoľne odmlčali – vynikajúce, možno majú strach.”
