Operatörerna bakom REvil -ransomware -gruppen har återuppstått efter att ha påstått stänga butiken efter den omfattande attacken mot Kaseya som orsakade tusentals offer den 4 juli.
Säkerhetsforskare sa att alla de mörka webbplatserna för den produktiva ransomware -gruppen – inklusive betalningssidan, gruppens offentliga webbplats, “helpdesk” -chatten och deras förhandlingsportal – gick offline den 13 juli efter att Kaseya -attacken drog världsomfattande fördömanden och hårda hot från amerikanska lagstiftare .
USA: s president Joe Biden talade personligen med Rysslands president Vladmir Putin efter attacken, och många tillskrev REvils nedläggning till samtalet, där Biden pressade Putin om ransomware -attacker som härrör från rysk mark.
Trots samtalet förnekade både amerikanska myndigheter och ryska tjänstemän all inblandning i REvils försvinnande i juli.
Men dussintals säkerhetsforskare tog sig till sociala medier på tisdagen för att visa att gruppens Happy Blog och andra webbplatser kopplade till REvil hade återuppstått. Bleeping Computer rapporterade att den senaste posten var från ett offer som attackerades den 8 juli.
Säkerhetsforskare från Recorded Future och Emsisoft bekräftade båda att mycket av gruppens infrastruktur var tillbaka online.
Kaseya -attack
Kaseya ransomware -attackkedjeattack: Vad du behöver veta om 1500 berörda företag bekräftar Kaseya att USA inleder en utredning när gänget kräver en gigantisk betalning på 70 miljoner dollar Kaseya uppmanar kunderna att omedelbart stäng av VSA -servern
Ransomware -experten Allan Liska berättade för ZDNet att de flesta förväntade sig att REvil skulle komma tillbaka, men med ett annat namn och en ny ransomware -variant.
“Det blev definitivt hett för dem ett tag, så de behövde låta brottsbekämpningen svalna. Problemet (för dem) är, om det här verkligen är samma grupp, att använda samma infrastruktur så köpte de inte själva någon distans från brottsbekämpning eller forskare, vilket kommer att sätta dem tillbaka i hårkorset till bokstavligen alla brottsbekämpande grupper i världen (utom Rysslands), “förklarade Liska.
” Jag lägger också till att jag har kontrollerat alla vanliga kodlager, som VirusTotal och Malware Bazaar, och jag har inte sett några nya prover ännu. Så om de har startat några nya ransomware -attacker har det inte varit många av dem. “
En skärmdump av REvils Happy Blog.
Brett Callow
En rapport från säkerhetsföretaget BlackFog om ransomware -attacker i augusti visade att REvil stod för mer än 23% av attackerna som de spårade förra månaden. Det var mer än någon annan grupp som spårades i rapporten.
REvil attackerade minst 360 amerikanska organisationer i år, enligt Emsisofts hotanalytiker Brett Callow. Forskningssidan RansomWhere säger att gruppen har fört in mer än $ 11 miljoner i år, med högprofilerade attacker mot Acer, JBS, Quanta Computer och mer.
REvils nedläggning i juli lämnade några offer på en svår plats. Mike Hamilton, tidigare CISO i Seattle och nu CISO för ransomware -reparationsfirma Critical Insight, sa att ett företag betalade en lösen efter Kaseya -attacken och fick dekrypteringsnycklarna från REvil men fann att de inte fungerade.
REvil erbjöd vanligtvis en helpdesk -funktion som hjälper offer att få tillbaka sina data.
“Några av våra kunder gick av riktigt enkelt. Om du hade den agenten installerad på oviktiga datorer byggde du bara om dem och kom tillbaka till livet. Men vi fick ett nödsamtal för några dagar sedan från ett företag som drabbades hårt eftersom de hade ett företag som hanterade många av sina servrar med Kaseya VSA. De fick många av deras servrar träffade och hade mycket information om dem och så tog de in sitt försäkringsbolag och bestämde sig för att betala lösen, säger Hamilton.
“De fick sin dekrypteringsnyckel och när de började använda den fann de att det på vissa ställen fungerade och på andra ställen inte. Dessa ransomware -gäng har kundsupport men helt plötsligt blev de mörka. De är helt borta och det finns ingen hjälp och dessa människor har bara fastnat. De kommer att sluta förlora mycket data och de kommer att sluta spendera mycket pengar för att helt bygga om sitt nätverk från grunden. “
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Government Security TV Data Management CXO Data Center 