Cybersikkerhedseksperter har fortalt Reuters, at retshåndhævende embedsmænd fra flere lande var involveret i forstyrrelsen af REvil ransomware-banden, som blev mørk for anden gang i søndags.
Rygter og spørgsmål om gruppens seneste forsvinden dominerede samtale i denne uge, efter at Recorded Future -sikkerhedsekspert Dmitry Smilyanets delte flere meddelelser på Twitter fra '0_neday' – en kendt REvil -operatør – der diskuterede, hvad der skete på cyberkriminalforum XSS. Han hævdede, at nogen tog kontrollen over gruppens Tor-betalingsportal og hjemmeside for datalæk.
I beskederne forklarer 0_neday, at han og “Unknown” – en ledende repræsentant for gruppen – var de eneste to medlemmer af banden, der havde REvils domænenøgler. “Ukendt” forsvandt i juli, så de andre medlemmer af gruppen antog, at han døde.
Gruppen genoptog driften i september, men denne weekend skrev 0_neday, at REvil-domænet var blevet tilgået ved hjælp af nøglerne til “Ukendt.”
I en anden besked sagde 0_neday: “Serveren var kompromitteret, og de ledte efter mig. For at være præcis slettede de stien til min skjulte tjeneste i torrc-filen og rejste deres egen, så jeg ville gå der. Jeg tjekkede på andre — det var det ikke. Held og lykke, alle sammen; jeg er afsted.”
Nu har Reuters bekræftet, at retshåndhævende embedsmænd fra USA og andre lande, sammen med en række cybersikkerhedseksperter, stod bag handlinger 0_nedag beskrevet søndag.
VMWare -chef for cybersikkerhedsstrategi Tom Kellerman og andre kilder fortalte Reuters, at regeringerne hackede REvils infrastruktur og tvang den offline.
FBI og Det Hvide Hus reagerede ikke på anmodninger om kommentarer.
Jake Williams, CTO for BreachQuest, fortalte ZDNet, at REvil bliver kompromitteret er blevet talt om i lukkede CTI-grupper siden mindst den 17. oktober.
“Det blev kendt senest den 17., at kernegruppens medlemmer bag REvil næsten helt sikkert var kompromitteret. Ved at stille op for Tor-skjulte tjenester, demonstrerede nogen, at de havde de private nøgler, der krævedes til at gøre det. Dette var i virkeligheden enden på REvil, som var har allerede problemer med at tiltrække tilknyttede virksomheder, efter at dens infrastruktur gik offline i juli efter Kaseya-angrebet,” sagde Williams.
“For at tiltrække tilknyttede selskaber havde REvil tilbudt op til 90 % overskudsandele, men fandt stadig få modtagere. Efter Tor-skjult-tjenesten blev tændt, hvilket viste besiddelse af de private nøgler, var det tydeligt, at gruppen var blevet brudt, og de ville være ude af stand til at tiltrække nye tilknyttede virksomheder til operationer. Et stort åbent spørgsmål i mit sind er, om genaktivering af Tor-skjulte tjenester var en kontraefterretningsfejl af retshåndhævere eller var en bevidst handling for at sende en besked. Der er bestemt argumenter for begge tilfælde .”
FBI har været udsat for modreaktioner i de seneste uger, fordi de for nylig afslørede, at det lykkedes dem at skaffe en universel dekrypteringsnøgle til de hundredvis af ofre, der var berørt af ransomware-angrebet på Kaseya.
Men FBI-embedsmænd fortalte Kongressen, at de holdt ud med at give nøglerne til ofrene i uger, fordi de planlagde en indsats i flere lande for at nedbryde REvils infrastruktur. REvil endte med at lukke butikken, før operationen kunne gennemføres, og FBI udleverede til sidst nøglerne til ofrene og hjalp et firma med at skabe en universel dekryptering.
Reuters rapporterede, at da gruppen genopstod i september, genstartede de faktisk de servere, der var blevet overtaget af retshåndhævende embedsmænd. Dette førte til den seneste retshåndhævelsesaktion, ifølge Reuters, som tilføjede, at operationen stadig er i gang.
Williams bemærkede, at det ser ud til at være sandsynligt, at i det mindste nogle arrestationer var involveret, hvilket peger tilbage på de originale beskeder fra 0_neday.
“Lanceringen af den skjulte tjeneste indikerer, at en anden er i besiddelse af de private nøgler til deres skjulte tjenester. Selvom nøglerne potentielt kunne være blevet erhvervet udelukkende gennem hacking tilbage, er det svært at forestille sig, at det også er tilfældet i betragtning af Unknowns forsvinden. Den åbenlyse konklusion er, at det er sandsynligt, at Ukendt (eller en nær kokonspirator) blev anholdt, selvom anholdelsen muligvis er blevet aktiveret via hacking back -operationer, “sagde Williams.
For dem, der blev ramt af ransomware efter gruppens hjemkomst, sagde Williams, at det var usandsynligt, at regeringen havde dekrypteringsnøgler, eller at de resterende bandemedlemmer ville frigive dem.
“Efter forstyrrelserne i juli, menes det, at REvil nulstillede de kampagnenøgler, der blev brugt af hver affiliate. Core REvil-bruger 0_neday annoncerede, at kampagnenøgler ville blive givet til REvil-tilknyttede selskaber, så de kunne fortsætte med at forhandle med deres ofre. Det forekommer usandsynligt på nuværende tidspunkt, at Den amerikanske regering har en hovednøgle til REvil, “forklarede Williams.
“Efter tilbageslaget over ikke at frigive den kampagnenøgle, der blev brugt i Kaseya-angrebet, er det svært at tro, at regeringen ville risikere mere negativ omtale. Individuelle tilknyttede virksomheder kan frigive deres kampagnenøgler, men det virker tvivlsomt på nuværende tidspunkt at REvil-kernegruppen vil.”
Williams tilføjede, at REvil-tilknyttede selskaber regelmæssigt brugte dobbelt afpresning – eksfiltrering af data fra offernetværk med truslen om frigivelse – for at tvinge betaling. Han bemærkede, at disse tilknyttede selskaber typisk forbliver i kø og frigiver ikke data, fordi det ville fjerne dem fra fremtidigt arbejde med kernegruppen.
Men nu hvor arbejdet fra REvil er ved at tørre op, får affiliates brug for nye indtægtskilder.
“Det vil ikke være overraskende at se stjålet sælges på det mørke web. Jeg forudser, at nogle organisationer, der troede, at deres data var sikre, fordi de betalte en REvil -løsesum, er klar til en uhøflig opvågnen,” sagde Williams til ZDNet.
Sikkerhed
Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick. Dette nye phishing-angreb indeholder en våbenbeskyttet Excel-fil Har en anden i hemmelighed adgang til din iPhone eller iPad? Supply chain -angreb er hackers nye yndlingsvåben Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Government – US Security TV Data Management CXO Data Centers 