Cyberkriminella som påstår sig vara en del av REvil -ransomware -gruppen har påstått att gänget stänger butiken efter att gruppen tappat kontrollen över vital infrastruktur och hade interna tvister.
Inspelad Framtidens säkerhetsexpert Dmitry Smilyanets delade flera meddelanden på Twitter från '0_neday' – en känd REvil -operatör – som diskuterade vad som hände på cyberkriminalforumet XSS. Han hävdade att någon tog kontroll över gruppens Tor -betalningsportal och dataläckage.
I meddelandena förklarar 0_neday att han och “Unknown” – en ledande representant för gruppen – var de enda två medlemmarna i gänget som hade REvils domännycklar. “Okänd” försvann i juli och lämnade de andra medlemmarna i gruppen att anta att han dog. Gruppen återupptog verksamheten i september men i helgen skrev 0_neday att REvil -domänen hade nåtts med nycklarna till “Okänd”.
I ett annat meddelande sa 0_neday: “Servern var komprometterad och de letade efter mig. För att vara exakt tog de bort vägen till min dolda tjänst i torrc -filen och höjde sin egen så att jag skulle gå dit. Jag kollade på andra-det här var inte. Lycka till alla, jag är ledig. “
Dmitry Smilyanets
REvil stängde ursprungligen butiken i juli efter den förödande attacken mot Kaseya infekterade hundratals organisationer över hela världen och orsakade otaliga skador. Gruppen är ett av de mest produktiva ransomware -gängen som för närvarande verkar och attackerade hundratals vitala företag och organisationer under de senaste åren.
Men gruppen uppmärksammade en enorm brottsbekämpning efter attacken mot Kaseya den 4 juli och avslutade sin verksamhet den 13 juli. I september återvände gruppen och fortsatte att attackera dussintals företag de senaste veckorna.
Enligt The Record inträffade avstängningen den 13 juli eftersom “Okänd” påstås ha stulit gruppens pengar och stängt av deras servrar, vilket gjorde det svårt för de återstående att betala medlemsförbund.
Smilyanets berättade för nyhetsmagasinet att han hoppades att gruppen hade stängt på grund av brottsbekämpningsåtgärder från amerikanska tjänstemän. FBI och andra amerikanska byråer har mött betydande motreaktioner under de senaste veckorna på grund av deras handlingar under REvil -attacken mot Kaseya.
FBI erkände att det hade dekrypteringsnycklar som kunde ha hjälpt de nästan 1500 ransomware -offren som drabbats av Kaseya -attacken, men bestämde sig för det eftersom de förberedde en operation för att störa REvils infrastruktur. Gruppen stängde butiken innan operationen kunde ses igenom och FBI har kritiserats hårt av de berörda organisationerna och lagstiftarna för att de väntade på att dela ut dekrypteringsnycklarna.
Bitdefender släppte senare en gratis dekrypterare för alla organisationer som drabbats av Kaseya -attacken.
Åsikterna om situationen var blandade bland experter, och vissa varnade människor för att inte tro kriminella. Andra sa att situationen var vettig eftersom REvil fick kritik från sina egna dotterbolag för sina handlingar.
Allan Liska, en ransomware -expert med Recorded Future, berättade för ZDNet att det fanns två teorier i hans sinne.
“Okänd (den tidigare ledaren för REvil)” återvände från de döda “och var inte glad att hans mjukvaruutvecklare försökte driva hans ransomware. Det andra är att en statlig myndighet lyckades tränga in i servern innan de stängde butiken första gången, fick Unknown sin privata nyckel och bestämde sig för att ta ner dessa nya aktörer, säger Liska.
“Normalt är jag ganska avvisande mot” brottsbekämpande “konspirationsteorier, men med tanke på att brottsbekämpning kunde dra nycklarna från Kaseya -attacken är det en verklig möjlighet. Relanseringen av REvil var dåligt tänkt från början. Rebranding sker en mycket i ransomware efter en avstängning. Men ingen tar med gammal infrastruktur som bokstavligen var inriktad på varje brottsbekämpning som inte heter Ryssland i världen igen. Det är bara dumt. “
Liska sa att medan vissa kan ifrågasätta om dramat inom gruppen är verkligt, han anser att det är legitimt och noterar den interna kontroversen som har uppslukat andra ransomware -grupper i år.
“Det finns mycket pengar i ransomware just nu, och med mycket pengar kommer att komma drama, “sa han.
Men medan REvil -operatörerna kan ha stängt av denna specifika grupp, sa Liska att det inte råder någon tvekan om att alla som var en del av REvil -organisationen kommer att fortsätta genomföra ransomware -attacker.
“Oavsett om det är genom att skapa en ny ransomware eller bli affiliate för en annan ransomware -grupp, är det svårt att ge upp de pengar som kan göras från ransomware,” sa Liska.
Sean Nikkel, digital analytiker för digitala skugghot, säger att REvil redan ställs inför ytterligare granskning från det bredare cyberkriminella samhället på grund av drama som involverar anklagelser om att inte betala de som är involverade i sitt partnerskapsprogram och hävdar att det effektivt har tagit bort affiliates och delade dekrypteringsnycklar med offer.
På XSS sa Nikkel att 0_neday tillfrågades om vem som skulle arbeta med REvil efter den senaste serien, och representanten svarade: “Av allt att döma kommer jag att jobba på egen hand.”
“Reaktionen på nyheterna från andra forummedlemmar sträckte sig från i stort sett osympatiska till att gränsa till konspirationsteori. Det viktigaste debattområdet var om gruppen skulle rebrand för tredje gången, med många som ifrågasatte om det cyberkriminella samhället fortfarande skulle lita på REvil-relaterade system, “Förklarade Nikkel.
Nikkel tillade att åsikterna verkade delade om huruvida REvils rykte skulle säkerställa gruppens fortsatta framgång, med många som påpekade att all publicitet är bra publicitet och förutspådde att löftet om vinst fortfarande skulle locka medlemsförbund att arbeta med gruppen i framtiden.
“En teori som gjorde rundorna utgjorde att en missnöjd tidigare lagmedlem, i kombination med dålig lösenordshygien, kunde ha resulterat i attacken”, tillade Nikkel och noterade att många användare ifrågasatte att detta ämne till och med var som överhuvudtaget diskuteras på webbplatsen med tanke på XSS förbud mot ransomware-relaterat innehåll från maj 2021.
“XSS -representanten för LockBit -ransomware -gruppen hävdade att han hade förutsagt denna händelseutveckling, med länkar till deras” profetiska “foruminlägg. De ifrågasatte REvil -representantens avsikt att lämna forumet och menade” om domänerna har kapats, detta är 100% bevis på att någon hade en rot på servern, vilket innebär att din databas också har läckt ut. ' LockBit -representanten presenterade till och med idén om att det nya REvil -forumkontot faktiskt kan drivas av brottsbekämpning, säger Nikkel.
Nikkel noterade att enligt hans åsikt tonen i REvils foruminlägg indikerar att gruppen kommer tillbaka i någon form. Men de kan få svårigheter att återvända efter att ha annonserat för dotterbolag med vinstdelning på 90/10, vilket är mer än gruppen har delat tidigare år.
“Trots detta, och de många kontroverser som REvil har varit inblandade i som kunde ha urholkat allt förtroende för och vilja att samarbeta med gruppen, verkar det som att gruppens infamy och löftet om höga vinster helt enkelt är för mycket lockande för många cyberkriminella, som har återvänt till arbetet med gruppen gång på gång, säger Nikkel.
Senior säkerhetsforskare för DomainTools Chad Anderson tillade att hans team upptäckte att REvil hade en bakdörr i sitt RaaS -erbjudande. Efter det bekräftade flera medlemsförbund i REvil -programmet att de hade rippats av skaparna.
“Det är svårt att säga vad som är verkligt vid denna tidpunkt. Vi har sett grupper försvinna bara för att återfödas som ett mer kompletterat affiliate -program. Vi har sett grupper av affiliates övergå till bättre betalningsmodeller och vi har sett gruppsajter tas över av andra och deras källkod läckt ut eller återanvänds, säger Anderson till ZDNet.
“Vid denna tidpunkt tyder bevis på att de privata nycklarna för de dolda lökstjänsterna som stöder REvil -betalningsinfrastrukturen har äventyrats. Detta kan säkert vara en statlig verksamhet, men det är lika troligt utan hård bekräftelse att det är någon annan ransomware -grupp. REvil gjorde en många affiliates galen när det visade sig att deras kod hade en bakdörr som kunde låta REvil -operatörer stjäla från sina affiliates. “
Emsisoft ransomware -expert Brett Callow var skeptisk till vad som skrevs i cyberbrottsforumet och noterade att de dubbla som pressmeddelandetjänster för ransomware -gäng.
“Hotaktörer vet att brottsbekämpning, forskare och reportrar övervakar forum och använder dem för att avge uttalanden. De säger bara vad de vill att folk ska veta och tro, Sa Callow.
“Om REvil verkligen har stängt sin butik, eller om de lurar sina dotterbolag eller har någon annan anledning till att de blir mörka, är omöjligt att säga.”
Säkerhet
När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth -vd bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får en högst betalande jobb inom cybersäkerhet Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Government Security TV Data Management CXO Data Centers 