Russian Ransomware Group REvil opäť online po 2- Mesačná prestávka

Operátori stojaci za ransomware-as-a-service (RaaS) REvil uskutočnili prekvapivý návrat po dvojmesačnej prestávke po široko medializovanom útoku na poskytovateľa technologických služieb Kaseya v júli. 4.

Dva z temných webových portálov, vrátane stránky gangu Happy Blog pre únik údajov a jej stránky pre platby/vyjednávanie, sa znova objavili online, pričom posledná obeť bola pridaná v júli. 8, päť dní pred tým, ako sa stránky 13. júla záhadne vyradili zo siete. Nie je hneď jasné, či je REvil späť v hre alebo či spustili nové útoky.

“Bohužiaľ, Happy Blog je späť online,” napísal v utorok na Twitteri výskumník hrozieb Emsisoft Brett Callow.

Tento vývoj prichádza niečo vyše dva mesiace po rozsiahlom útoku ransomvéru dodávateľského reťazca zameraného na Kaseyu, pri ktorom ruský gang kyberzločinu zašifroval približne 60 poskytovateľov spravovaných služieb (MSP) a viac. 1500 nadväzujúcich podnikov využívajúcich zraniteľnosť nultého dňa v softvéri vzdialenej správy Kaseya VSA.

Koncom mája REvil tiež stál v čele útoku na najväčšieho svetového producenta mäsa JBS, čo prinútilo spoločnosť vyplatiť 11 miliónov dolárov ako výkupné pre vydieračov, aby sa z incidentu spamätali.

Po útokoch a zvýšenej medzinárodnej kontrole v dôsledku globálnej ransomvérovej krízy skupina zlikvidovala svoju temnú webovú infraštruktúru, čo viedlo k špekuláciám, že mohla dočasne zastaviť svoju činnosť s cieľom zmeniť značku pod novú identitu, aby pritiahla menej pozornosti. .

REvil, tiež známy ako Sodinokibi, sa v Q1 2021 objavil ako piaty najčastejšie hlásený kmeň ransomvéru, čo zodpovedá 4Podľa štatistík zostavených spoločnosťou Emsisoft je to 0,60 % zo všetkých príspevkov za štvrťrok.