Cybercriminelen die beweren deel uit te maken van de REvil ransomware-groep hebben beweerd dat de bende de winkel sluit nadat de groep de controle over vitale infrastructuur had verloren en interne geschillen had.
Opgenomen Toekomstige beveiligingsexpert Dmitry Smilyanets deelde meerdere berichten op Twitter van '0_neday' — een bekende REvil-operator — waarin hij besprak wat er gebeurde op het cybercriminelenforum XSS. Hij beweerde dat iemand de controle over het Tor-betalingsportaal en de datalekwebsite van de groep had overgenomen.
In de berichten legt 0_neday uit dat hij en “Unknown” — een vooraanstaande vertegenwoordiger van de groep — de enige twee leden van de bende waren die de domeinsleutels van REvil hadden. “Onbekend” verdween in juli en de andere leden van de groep gingen ervan uit dat hij stierf. De groep hervatte haar activiteiten in september, maar dit weekend schreef 0_neday dat toegang was verkregen tot het REvil-domein met de sleutels van 'Onbekend'.
In een ander bericht zei 0_neday: “De server was gecompromitteerd en ze waren naar mij op zoek. Om precies te zijn, ze hebben het pad naar mijn verborgen service in het torrc-bestand verwijderd en hun eigen ga daarheen. Ik heb bij anderen gekeken — dit was niet zo. Veel succes allemaal, ik ben vertrokken.”
Dmitry Smilyanets
REvil sloot oorspronkelijk de winkel in juli nadat de verwoestende aanval op Kaseya honderden organisaties over de hele wereld besmette en onnoemelijke schade aanrichtte. De groep is een van de meest productieve ransomware-bendes die momenteel actief zijn en heeft de afgelopen jaren honderden vitale bedrijven en organisaties aangevallen.
Maar de groep kreeg enorm veel aandacht van de politie na de aanval op Kaseya van 4 juli en beëindigde de operatie op 13 juli. In september keerde de groep terug en bleef de afgelopen weken tientallen bedrijven aanvallen.
Volgens The Record vond de sluiting van 13 juli plaats omdat “Onbekend” het geld van de groep zou hebben gestolen en hun servers had afgesloten, waardoor het moeilijk werd voor degenen die overbleven om gelieerde ondernemingen te betalen.
Smilyanets vertelde de nieuwszender dat hij hoopte dat de groep was gesloten vanwege wetshandhavingsacties van Amerikaanse functionarissen. De FBI en andere Amerikaanse agentschappen kregen de afgelopen weken te maken met aanzienlijke terugslag vanwege hun acties tijdens de REvil-aanval op Kaseya.
De FBI gaf toe dat het decoderingssleutels had die de bijna 1.500 ransomware-slachtoffers hadden kunnen helpen die getroffen waren door de Kaseya-aanval, maar besloot dit niet te doen omdat ze een operatie aan het voorbereiden waren om de infrastructuur van REvil te verstoren. De groep sloot de winkel voordat de operatie kon worden doorzien en de FBI werd hard bekritiseerd door de getroffen organisaties en wetgevers omdat ze wachtten met het uitdelen van de decoderingssleutels.
Bitdefender heeft later een gratis decryptor uitgebracht voor alle organisaties die getroffen zijn door de Kaseya-aanval.
De meningen over de situatie waren onder deskundigen verdeeld, waarbij sommigen mensen waarschuwden om het woord van criminelen niet te geloven. Anderen zeiden dat de situatie logisch was omdat REvil te maken kreeg met kritiek van zijn eigen filialen voor hun acties.
Allan Liska, een ransomware-expert bij Recorded Future, vertelde ZDNet dat hij twee theorieën had.
“Onbekend (de voormalige leider van REvil) keerde terug uit de dood en was niet blij dat zijn softwareontwikkelaars zijn ransomware probeerden te pushen. De tweede is dat een overheidsinstantie erin slaagde de server binnen te dringen voordat ze de winkel de eerste keer sloten, kreeg de privésleutel van Unknown en besloot deze nieuwe acteurs neer te halen”, zei Liska.
“Normaal ben ik nogal afwijzend tegenover complottheorieën voor 'wetshandhaving', maar gezien het feit dat wetshandhavers de sleutels van de Kaseya-aanval konden halen, is het een reële mogelijkheid. De herlancering van REvil was vanaf het begin slecht bedacht. Rebranding gebeurt een veel ransomware na een shutdown. Maar niemand brengt oude infrastructuur die letterlijk het doelwit was van elke wetshandhavingsoperatie die niet Rusland heet in de wereld weer online. Dat is gewoon dom.”
Liska zei dat terwijl sommigen kan zich afvragen of het drama binnen de groep echt is, hij gelooft dat het legitiem is, en wijst op de interne controverse die andere ransomware-groepen dit jaar heeft overspoeld.
“Er zit momenteel veel geld in ransomware en met veel geld gaat drama komen”, zei hij.
Maar hoewel de REvil-operators deze specifieke groep mogelijk hebben gesloten, zei Liska dat er geen twijfel over bestaat dat iedereen die deel uitmaakte van de REvil-organisatie ransomware-aanvallen zal blijven uitvoeren.
“Of het nu is door een nieuwe ransomware te creëren of een partner te worden van een andere ransomwaregroep, het is moeilijk om het geld op te geven dat met ransomware kan worden verdiend,” zei Liska.
Sean Nikkel, Senior Cyber Threat Intel Analyst van Digital Shadows, zei dat REvil al extra kritisch werd bekeken door de bredere cybercriminaliteit vanwege drama met beschuldigingen van het niet betalen van degenen die betrokken zijn bij het partnerschapsprogramma, en beweert dat het gelieerde ondernemingen en gedeelde decoderingssleutels effectief heeft verwijderd. met slachtoffers.
Op XSS zei Nikkel dat 0_neday werd gevraagd wie er met REvil zou werken na deze laatste reeks problemen, en de vertegenwoordiger antwoordde: “Afgaande op alles, zal ik alleen werken.”
p>
“Reacties op het nieuws van andere forumleden varieerden van grotendeels onsympathiek tot grenzend aan samenzweringstheorieën. Het belangrijkste onderwerp van discussie was of de groep voor een derde keer zou rebranden, waarbij velen zich afvroegen of de cybercriminele gemeenschap nog steeds REvil-gerelateerde schema's zou vertrouwen, ’ legde Nicky uit.
Nikkel voegde eraan toe dat de meningen verdeeld leken over de vraag of de reputatie van REvil het blijvende succes van de groep zou verzekeren, waarbij velen erop wezen dat alle publiciteit goede publiciteit is, en voorspelden dat de belofte van winst nog steeds filialen zou verleiden om met de groep samen te werken in de toekomst.
“Eén theorie die de ronde deed, beweerde dat een ontevreden voormalig teamlid, in combinatie met een slechte wachtwoordhygiëne, tot de aanval had kunnen leiden”, voegde Nikkel eraan toe, erop wijzend dat veel gebruikers twijfelden aan het feit dat dit onderwerp zelfs wordt helemaal niet besproken op de site, gezien het verbod van XSS in mei 2021 op ransomware-gerelateerde inhoud.
“De XSS-vertegenwoordiger van de LockBit-ransomwaregroep beweerde deze gang van zaken te hebben voorspeld door links naar hun 'profetische' forumberichten te verstrekken. 100% bewijs dat iemand root op de server had, dus ook jouw database is gelekt.' De LockBit-vertegenwoordiger bracht zelfs het idee naar voren dat het nieuwe REvil-forumaccount in feite door wetshandhavers kan worden beheerd, “zei Nickel.
Nikkel merkte op dat naar zijn mening de toon van de REvil's forumberichten aangeeft dat de groep in een of andere vorm terug zal zijn. Maar ze kunnen moeilijkheden ondervinden om terug te keren na reclame voor filialen op een winstdelingsbasis van 90/10, wat meer is dan de groep in voorgaande jaren heeft gedeeld.
“Ondanks dit, en de vele controverses waarbij REvil betrokken is geweest en die alle vertrouwen in en bereidheid om met de groep samen te werken zouden kunnen hebben uitgehold, lijkt het erop dat de schande van de groep en de belofte van hoge winsten voor velen gewoon een te grote aantrekkingskracht is. cybercriminelen, die keer op keer weer aan het werk zijn gegaan met de groep”, aldus Nickel.
Senior beveiligingsonderzoeker voor DomainTools Chad Anderson voegde toe dat zijn team ontdekte dat REvil een achterdeur had in zijn RaaS-aanbod. Daarna bevestigden meerdere filialen van het REvil-programma dat ze waren opgelicht door de makers.
“Het is op dit moment moeilijk te zeggen wat echt is. We hebben groepen zien verdwijnen om vervolgens herboren te worden als een meer volledig uitgerust partnerprogramma. We hebben groepen van partners zien verschuiven naar betere betalingsmodellen en we hebben gezien dat groepssites werden ingenomen overgenomen door anderen en hun broncode is gelekt of hergebruikt”, vertelde Anderson aan ZDNet.
“Op dit moment suggereert bewijs dat de privésleutels voor de verborgen diensten van Onion die de REvil-betalingsinfrastructuur ondersteunen, zijn gecompromitteerd. Dit zou zeker een operatie van een overheidsinstantie kunnen zijn, maar het is net zo waarschijnlijk zonder harde bevestiging dat het een andere ransomware-groep is. REvil maakte een veel filialen boos toen bleek dat hun code een achterdeur had waardoor REvil-operators van hun filialen konden stelen.”
Brett Callow, expert op het gebied van Emsisoft-ransomware, was sceptisch over wat er op het cybercriminaliteitsforum stond, en merkte op dat ze verdubbelen als persberichten voor ransomware-bendes.
“Dreigingsactoren weten dat wetshandhavers, onderzoekers en verslaggevers forums controleren en gebruiken ze dus om verklaringen af te geven. Ze zeggen alleen wat ze willen dat mensen weten en geloven, ' zei Callow.
“Of REvil de winkel echt heeft gesloten, of hun filialen oplicht, of een andere reden heeft om op te vallen, is onmogelijk te zeggen.”
Beveiliging
Wanneer uw VPN is een kwestie van leven of dood, vertrouw niet op beoordelingen Ransomware-bendes klagen dat andere oplichters hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden. bestbetaalde baan in cybersecurity Cybersecurity 101: Bescherm uw privacy tegen hackers, spionnen, de overheid
gerelateerde onderwerpen:
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 