Nettkriminelle som hevder å være en del av REvil ransomware -gruppen har påstått at gjengen stenger butikken etter at gruppen mistet kontrollen over vital infrastruktur og hadde interne tvister.
Registrert Fremtidig sikkerhetsekspert Dmitry Smilyanets delte flere meldinger på Twitter fra '0_neday' – en kjent REvil -operatør – og diskuterte hva som skjedde på nettkriminalforum XSS. Han hevdet at noen tok kontroll over gruppens Tor -betalingsportal og datalekkasje -nettsted.
I meldingene forklarer 0_neday at han og “Unknown” – en ledende representant for gruppen – var de eneste to medlemmene i gjengen som hadde REvils domenenøkler. “Ukjent” forsvant i juli, og lot de andre medlemmene i gruppen anta at han døde. Gruppen gjenopptok driften i september, men i helgen skrev 0_neday at REvil -domenet hadde blitt åpnet ved hjelp av tastene til “Ukjent.”
I en annen melding sa 0_neday: “Serveren var kompromittert og de lette etter meg. For å være presis, slettet de stien til min skjulte tjeneste i torrc -filen og reiste sin egen slik at jeg ville dra dit. Jeg sjekket på andre-dette var ikke. Lykke til alle sammen, jeg er på vei. “
Dmitry Smilyanets
REvil stengte opprinnelig butikken i juli etter at det ødeleggende angrepet på Kaseya smittet hundrevis av organisasjoner over hele verden og forårsaket ufattelige skader. Gruppen er en av de mest produktive ransomware -gjengene som for tiden opererer, og angrep hundrevis av vitale selskaper og organisasjoner de siste årene.
Men gruppen vakte en enorm politimyndighet etter angrepet på Kaseya 4. juli og avsluttet operasjonen 13. juli. I september kom gruppen tilbake og fortsatte å angripe flere titalls selskaper de siste ukene.
I følge The Record skjedde nedleggelsen 13. juli fordi “Ukjent” angivelig stjal gruppens penger og stengte serverne deres, noe som gjorde det vanskelig for de som gjenstår å betale tilknyttede selskaper.
Smilyanets fortalte avisen at han håpet gruppen hadde stengt på grunn av lovhåndhevelse fra amerikanske tjenestemenn. FBI og andre amerikanske byråer har opplevd betydelig tilbakeslag de siste ukene på grunn av handlingene deres under REvil -angrepet på Kaseya.
FBI innrømmet at den hadde dekrypteringsnøkler som kunne ha hjulpet de nesten 1500 ransomware -ofrene som ble rammet av Kaseya -angrepet, men bestemte seg for det fordi de forberedte en operasjon for å forstyrre REvils infrastruktur. Gruppen stengte butikken før operasjonen kunne ses gjennom og FBI har blitt hardt kritisert av de berørte organisasjonene og lovgivere for å ha ventet på å dele ut dekrypteringsnøklene.
Bitdefender ga senere ut en gratis dekrypteringsapparat for alle organisasjonene som er berørt av Kaseya -angrepet.
Meninger om situasjonen var blandet blant eksperter, og noen advarte folk til ikke å tro kriminelles ord. Andre sa at situasjonen var fornuftig fordi REvil ble utsatt for kritikk fra sine egne tilknyttede selskaper for sine handlinger.
Allan Liska, en ransomware -ekspert med Recorded Future, fortalte ZDNet at det var to teorier i tankene hans.
“Ukjent (den tidligere lederen for REvil)” vendte tilbake fra de døde “og var ikke glad for at programvareutviklerne hans prøvde å presse løseprogramvaren hans. Det andre er at et statlig byrå klarte å trenge gjennom serveren før de stengte butikken første gang, fikk Unknown sin private nøkkel og bestemte seg for å ta disse nye aktørene ned, “sa Liska.
“Normalt er jeg ganske avvisende over konspirasjonsteorier om” rettshåndhevelse “, men gitt at rettshåndhevelse var i stand til å trekke nøklene fra Kaseya -angrepet, er det en reell mulighet. Relanseringen av REvil var dårlig tenkt fra starten av. Rebranding skjer en mye i ransomware etter en nedleggelse. Men ingen tar med gammel infrastruktur som bokstavelig talt ble målrettet av alle rettshåndhevelsesoperasjoner som ikke heter Russland i verden igjen. Det er bare dumt. “
Liska sa det mens noen kan stille spørsmål ved om dramaet i gruppen er ekte, mener han det er legitimt, og merker seg den interne kontroversen som har oppslukt andre ransomware -grupper i år.
“Det er mye penger i ransomware akkurat nå, og med mye penger kommer drama, “sa han.
Men mens REvil -operatørene kan ha stengt denne spesifikke gruppen, sa Liska at det ikke er tvil om at alle som var en del av REvil -organisasjonen vil fortsette å gjennomføre ransomware -angrep.
“Enten det er gjennom å opprette en ny ransomware eller bli tilknyttet en annen ransomware -gruppe, er det vanskelig å gi opp pengene som kan tjenes på ransomware,” sa Liska.
Sean Nikkel, senior analytiker for digital trussel om digital trussel, sa at REvil allerede sto overfor ytterligere granskning fra det bredere cyberkriminelle samfunnet på grunn av drama som involverte beskyldninger om ikke å betale de som er involvert i partnerskapsprogrammet og hevder at det effektivt kuttet ut tilknyttede selskaper og delte dekrypteringsnøkler med ofre.
På XSS sa Nikkel at 0_neday ble spurt om hvem som skulle jobbe med REvil etter denne siste serien med problemer, og representanten svarte: “Etter alt å dømme skal jeg jobbe på egen hånd.”
“Reaksjonen på nyhetene fra andre forummedlemmer varierte fra stort sett usympatisk til grenser til konspirasjonsteori. Hovedområdet for debatten var om gruppen ville rebrand for tredje gang, med mange som satte spørsmålstegn ved om det cyberkriminelle samfunnet fortsatt ville stole på REvil-relaterte ordninger, “Forklarte Nikkel.
Nikkel la til at meningene virket delte om hvorvidt REvils omdømme ville sikre gruppens fortsatte suksess, med mange som påpekte at all publisitet er god omtale, og spådde at løfte om overskudd fortsatt ville lokke tilknyttede selskaper til å jobbe med gruppen i fremtiden.
“En teori om rundene antydet at et misfornøyd tidligere lagmedlem, kombinert med dårlig passordhygiene, kunne ha resultert i angrepet,” la Nikkel til og bemerket at mange brukere satte spørsmålstegn ved det faktum at dette emnet til og med var blir diskutert på nettstedet i det hele tatt med tanke på XSSs forbud mot ransomware-relatert innhold i mai 2021.
“XSS -representanten for LockBit ransomware -gruppen hevdet å ha spådd denne hendelsen, og ga lenker til deres 'profetiske' foruminnlegg. De satte spørsmålstegn ved REvil -representantens intensjon om å forlate forumet, og mente 'hvis domenene har blitt kapret, dette er 100% bevis på at noen hadde en rot på serveren, noe som betyr at databasen din også er lekket. ' LockBit -representanten la til og med frem ideen om at den nye REvil -forumkontoen faktisk kan drives av politiet, sier Nikkel.
Nikkel bemerket at etter hans mening indikerer tonen i REvils foruminnlegg at gruppen vil være tilbake i en eller annen form. Men de kan få problemer med å komme tilbake etter å ha annonsert for tilknyttede selskaper på grunnlag av en gevinstfordeling på 90/10, noe som er mer enn gruppen har delt tidligere år.
“Til tross for dette, og de mange kontroversene som REvil har vært involvert i som kunne ha ødelagt all tillit til og vilje til å samarbeide med gruppen, ser det ut til at gruppens infamy og løftet om høy fortjeneste rett og slett er for mye lokkemiddel for mange cyberkriminelle, som har kommet tilbake på jobb med gruppen gang på gang, sier Nikkel.
Senior sikkerhetsforsker for DomainTools Chad Anderson la til at teamet hans oppdaget at REvil hadde en bakdør i sitt RaaS -tilbud. Etter det bekreftet flere partnere i REvil -programmet at de var blitt dratt av skaperne.
“Det er vanskelig å si hva som er ekte på dette tidspunktet. Vi har sett grupper forsvinne bare for å bli gjenfødt som et mer fullverdig tilknyttet program. Vi har sett grupper av tilknyttede selskaper skifte til bedre betalingsmodeller, og vi har sett at gruppesider ble tatt over av andre, og kildekoden deres ble lekket eller brukt på nytt, sier Anderson til ZDNet.
“På dette tidspunktet tyder bevis på at de private nøklene til Onion -skjulte tjenester som støtter REvil -betalingsinfrastrukturen, har blitt kompromittert. Dette kan absolutt være en operasjon fra et statlig organ, men det er like sannsynlig uten hard bekreftelse at det er en annen ransomware -gruppe. REvil laget en mange tilknyttede selskaper ble sure da det viste seg at koden deres hadde en bakdør som kunne la REvil -operatører stjele fra sine datterselskaper. “
Emsisoft ransomware -ekspert Brett Callow var skeptisk til det som var skrevet i nettkriminalitetsforumet, og bemerket at de dobbelt som pressemeldingstjenester for ransomware -gjenger.
“Trusselaktører vet at rettshåndhevelse, forskere og journalister overvåker fora, og bruker dem derfor til å komme med uttalelser. De sier bare det de vil at folk skal vite og tro, “Sa Callow.
Det er umulig å si om REvil virkelig har stengt butikken, eller bedrager sine tilknyttede selskaper, eller har en annen grunn til å gå mørkt. “
Sikkerhet
Når VPN -en din er et spørsmål om liv eller død, ikke stol på anmeldelser Ransomware -gjenger klager over at andre skurker stjeler løsepenger Båndbredde -administrerende direktør bekrefter avbrudd forårsaket av DDoS -angrep Disse systemene møter milliarder av angrep hver måned, da hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene
Relaterte emner:
Government Security TV Data Management CXO Data Centers 