Μυστηριώδης εξαφάνιση της ομάδας REvil Ransomware μετά από High-Profile επιθέσεις
Το περίφημο καρτέλ ransomware REvil που κρύβεται πίσω από τις μεγαλύτερες επιθέσεις στον κυβερνοχώρο που στοχεύουν την JBS και την Kaseya, έχει εξαφανιστεί μυστηριωδώς από το σκοτεινό ιστό, οδηγώντας σε εικασίες ότι η εγκληματική επιχείρηση ενδέχεται να έχει καταργηθεί.
Πολλοί ιστότοποι σε darknet και σε clearnet που διατηρούνται από το συνδικάτο κυβερνοεγκλήματος που συνδέονται με τη Ρωσία και συνδέονται με data leak, extortion και payment portals, εμφανίζονyn ένα μήνυμα σφάλματος “Onionsite not found.”
Η υποδομή δικτύου Tor της ομάδας στο dark web αποτελείται από έναν blog διαρροής δεδομένων και 22 data hosting site ενώ δεν έχει γίνει ακόμα σαφές τι οδήγησε την υποδομή να χτυπηθεί εκτός σύνδεσης.
Το REvil είναι μια από τις πιο παραγωγικές ομάδες ransomware-as-a-service (RaaS) που εμφανίστηκε για πρώτη φορά στο τοπίο απειλών τον Απρίλιο του 2019. Πρόκειται για μια εξέλιξη του ransomware GandCrab, το οποίο έπληξε τις παράνομες αγορές στις αρχές του 2018.
Η ξαφνική ανάπτυξη έρχεται μαζί με μιας μεγάλης κλίμακας επίθεση ransomware, με στόχο τον πάροχο τεχνολογικών υπηρεσιών Kaseya, για την οποία η REvil (γνωστός και ως Sodinokibi) ανέλαβε την ευθύνη και ζήτησε λύτρα 70 εκατομμυρίων δολαρίων για να ξεκλειδώσει την πρόσβαση σε κρυπτογραφημένα συστήματα με αντάλλαγμα ένα καθολικό κλειδί αποκρυπτογράφησης που θα ξεκλειδώσει όλα τα δεδομένα των θυμάτων.
Η συμμορία ransomware, κρυπτογράφησε περίπου 60 managed service providers (MSPs) και πάνω από 1.500 επιχειρήσεις που χρησιμοποιώντας μια zero-day ευπάθεια στο λογισμικό απομακρυσμένης διαχείρισης Kaseya VSA. Στα τέλη Μαΐου, η REvil ήταν επίσης υπεύθυνη για την επίθεση κατά του μεγαλύτερου παραγωγού κρέατος στον κόσμο JBS, η οποία κατέληξε να πληρώσει 11 εκατομμύρια δολάρια στους εκβιαστές για να ανακάμψουν από το συμβάν.
Η ξαφνική διακοπή της ομάδας συμπίπτει επίσης με το τηλεφώνημα του προέδρου των ΗΠΑ Τζο Μπάιντεν με τον Ρώσο πρόεδρο Βλαντιμίρ Πούτιν την περασμένη εβδομάδα, πιέζοντας τον τελευταίο να λάβει μέτρα για να διαταράξει ομάδες ransomware που δραστηριοποιούνται στη χώρα, προειδοποιώντας για αντίποινα για την υπεράσπιση κρίσιμων υποδομών.
“Η κατάσταση εξακολουθεί να εκτυλίσσεται, αλλά τα στοιχεία δείχνουν ότι η REvil υπέστη μια προγραμματισμένη, κατάργηση της υποδομής της, είτε από τους ίδιους τους φορείς είτε μέσω της βιομηχανίας ή της επιβολής του νόμου”, δήλωσε ο John Hultquist του FireEye Mandiant στο CNBC.
Το ανεξήγητο κλείσιμο του REvil, με παρόμοιο τρόπο, μπορεί επίσης να είναι μια περίπτωση προγραμματισμένης συνταξιοδότησης ή μια προσωρινή αποτυχία, αναγκάζοντάς το να φαινομενικά διαλύεται μόνο για να ανασυνταχθεί κάτω από μια νέα ταυτότητα ώστε να προσελκύσει λιγότερη προσοχή, ή μπορεί να ήταν απόρροια του αυξημένου διεθνούς ελέγχου μετά την παγκόσμια κρίση ransomware.
