Operatørerne bag REvil ransomware -gruppen er dukket op igen efter angiveligt at have lukket butikken efter det omfattende angreb på Kaseya, der forårsagede tusinder af ofre den 4. juli.
Sikkerhedsforskere sagde, at alle de mørke websteder for den produktive ransomware -gruppe – inklusive betalingsstedet, gruppens offentlige websted, 'helpdesk' -chatten og deres forhandlingsportal – gik offline den 13. juli, efter at Kaseya -angrebet havde fordømt verdensomspændende fordømmelse og hårde trusler fra amerikanske lovgivere.
USA's præsident Joe Biden talte personligt med den russiske præsident Vladmir Putin efter angrebet, og mange tilskrev REvils lukning til samtalen, hvor Biden pressede Putin om ransomware -angreb, der stammer fra russisk jord.
På trods af samtalen benægtede både amerikanske myndigheder og russiske embedsmænd ethvert engagement i REvils forsvinden i juli.
Men snesevis af sikkerhedsforskere tog tirsdag til sociale medier for at vise, at gruppens Happy Blog og andre websteder er forbundet med REvil var dukket op igen. Bleeping Computer rapporterede, at den nyeste post var fra et offer, der blev angrebet den 8. juli.
Sikkerhedsforskere fra Recorded Future og Emsisoft bekræftede begge, at meget af gruppens infrastruktur var tilbage online.
Ransomware -ekspert Allan Liska fortalte ZDNet, at de fleste mennesker forventede, at REvil ville vende tilbage, men med et andet navn og en ny ransomware -variant.
“Tingene blev bestemt varme for dem et stykke tid, så de var nødt til at lade lovhåndhævelsen køle af. Problemet (for dem) er, hvis dette virkelig er den samme gruppe, ved hjælp af den samme infrastruktur, at de ikke rigtig købte sig nogen afstand fra retshåndhævende myndigheder eller forskere, som kommer til at sætte dem tilbage i trådkorset af bogstaveligt talt alle retshåndhævende grupper i verden (undtagen Ruslands), “forklarede Liska.
” Jeg vil også tilføje, at jeg Jeg har kontrolleret alle de sædvanlige kodelagre, som VirusTotal og Malware Bazaar, og jeg har ikke set nogen nye prøver sendt endnu. Så hvis de har lanceret nye ransomware -angreb, har der ikke været mange af dem. “
Et skærmbillede af REvils Happy Blog.
Brett Callow
En rapport fra sikkerhedsfirmaet BlackFog om ransomware -angreb i august viste, at REvil tegnede sig for mere end 23% af de angreb, de sporede i sidste måned. Det var mere end nogen anden gruppe, der blev sporet i rapporten.
REvil angreb mindst 360 amerikanske organisationer i år ifølge Emsisoft-trusselanalytiker Brett Callow. RansomWhere -forskningsstedet siger, at gruppen i år har indbragt mere end $ 11 millioner med høje profilangreb på Acer, JBS, Quanta Computer og mere.
REvils lukning i juli efterlod nogle ofre på et hårdt sted. Mike Hamilton, tidligere CISO i Seattle og nu CISO for ransomware -afhjælpningsfirma Critical Insight, sagde, at et selskab betalte en løsesum efter Kaseya -angrebet og modtog dekrypteringsnøglerne fra REvil, men fandt ud af, at de ikke fungerede.
REvil tilbød typisk en help desk -funktion, der hjælper ofre med at få deres data tilbage.
“Nogle af vores kunder kom virkelig let af. Hvis du havde den agent installeret på uvæsentlige computere, genopbyggede du dem bare og kom tilbage til livet. Men vi fik et nødopkald for et par dage siden fra et firma, der blev hårdt ramt, fordi de havde et selskab, der administrerede mange af deres servere med Kaseya VSA. De fik mange af deres servere ramt og havde mange oplysninger om dem, og derfor bragte de deres forsikringsselskab ind og besluttede at betale løsesummen, “sagde Hamilton.
“De fik deres dekrypteringsnøgle, og da de begyndte at bruge den, fandt de ud af, at det fungerede nogle steder og andre steder ikke. Disse ransomware -bander har kundesupport, men pludselig blev de mørke. De er helt væk, og der er derfor ingen hjælp, og disse mennesker sidder bare fast. De kommer til at miste en masse data, og de vil ende med at bruge mange penge på at genopbygge deres netværk helt fra bunden. “
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Government Security TV Data Management CXO Data Centers 