Cybersecurity-experts hebben Reuters verteld dat wetshandhavers uit meerdere landen betrokken waren bij de verstoring van de REvil-ransomwarebende, die zondag voor de tweede keer donker werd.
Geruchten en vragen over de meest recente verdwijning van de groep domineerden gesprek deze week nadat Recorded Future-beveiligingsexpert Dmitry Smilyanets meerdere berichten op Twitter deelde van '0_neday' — een bekende REvil-operator — waarin hij besprak wat er gebeurde op het cybercriminelenforum XSS. Hij beweerde dat iemand de controle over het Tor-betalingsportaal en de datalekwebsite van de groep had overgenomen.
In de berichten legt 0_neday uit dat hij en “Unknown” — een vooraanstaande vertegenwoordiger van de groep — de enige twee leden van de bende waren die de domeinsleutels van REvil hadden. “Onbekend” verdween in juli en de andere leden van de groep gingen ervan uit dat hij stierf.
De groep hervatte haar activiteiten in september, maar dit weekend schreef 0_neday dat het REvil-domein was benaderd met de sleutels van “Onbekend”.
In een ander bericht zei 0_neday: “De server was gecompromitteerd en ze waren naar mij op zoek. Om precies te zijn, ze hebben het pad naar mijn verborgen service in het torrc-bestand verwijderd en hun eigen pad verhoogd zodat ik daarheen zou gaan. Ik controleerde op anderen — dit was het niet. Veel succes, iedereen; ik ben vertrokken.”
Nu heeft Reuters bevestigd dat wetshandhavers uit de VS en andere landen, naast een aantal cyberbeveiligingsexperts, achter de acties 0_neday beschreven op zondag.
Tom Kellerman, hoofd cyberbeveiligingsstrategie van VMWare en andere bronnen, vertelden Reuters dat de regeringen de infrastructuur van REvil hebben gehackt en offline hebben gedwongen.
De FBI en het Witte Huis hebben niet gereageerd op verzoeken om commentaar.
Jake Williams, CTO van BreachQuest, vertelde ZDNet dat er sinds minstens 17 oktober in gesloten CTI-groepen wordt gesproken over het gecompromitteerd zijn van REvil.
“Uiterlijk op de 17e was bekend dat de leden van de kerngroep achter REvil vrijwel zeker gecompromitteerd waren. Door de Tor-verborgen services op te roepen, toonde iemand aan dat ze over de vereiste privésleutels beschikten. Dit was in feite het einde van REvil, dat was had al problemen om filialen aan te trekken nadat de infrastructuur in juli offline ging na de Kaseya-aanval”, zei Williams.
“Om filialen aan te trekken, bood REvil tot 90% winstaandelen aan, maar vond nog steeds weinig kopers. Nadat de Tor-verborgen-service was ingeschakeld, waarmee het bezit van de privésleutels werd aangetoond, was het duidelijk dat de groep was geschonden en zij zou niet in staat zijn om nieuwe filialen aan te trekken voor operaties. Een grote open vraag in mijn gedachten is of het opnieuw inschakelen van de Tor-verborgen diensten een contraspionage-fout was van de wetshandhaving of een opzettelijke handeling om een bericht te sturen. Er zijn zeker argumenten voor beide gevallen .”
De FBI heeft de afgelopen weken te maken gehad met terugslag omdat ze onlangs hebben onthuld dat ze een universele decoderingssleutel hebben weten te bemachtigen voor de honderden slachtoffers die zijn getroffen door de ransomware-aanval op Kaseya.
Maar FBI-functionarissen vertelden het Congres dat ze wekenlang hadden uitgesteld om de sleutels aan de slachtoffers te verstrekken omdat ze van plan waren om in meerdere landen de infrastructuur van REvil neer te halen. REvil sloot de winkel voordat de operatie kon worden uitgevoerd, en de FBI deelde uiteindelijk de sleutels uit aan de slachtoffers en hielp een bedrijf een universele decryptor te maken.
Reuters meldde dat toen de groep in september weer opdook, ze de servers die waren overgenomen door wetshandhavingsfunctionarissen, daadwerkelijk opnieuw hadden opgestart. Dit leidde volgens Reuters tot de meest recente rechtshandhavingsactie, die eraan toevoegde dat de operatie nog steeds aan de gang is.
Williams merkte op dat het waarschijnlijk lijkt dat er in ieder geval enkele arrestaties bij betrokken waren, verwijzend naar de originele berichten van 0_neday.
“De lancering van de verborgen service geeft aan dat iemand anders de privésleutels voor hun verborgen services bezit. Hoewel de sleutels mogelijk puur door terughacking zouden kunnen zijn verkregen, is het moeilijk voor te stellen dat dit ook het geval is gezien de verdwijning van Unknown. De voor de hand liggende conclusie is dat het is waarschijnlijk dat Unknown (of een naaste samenzweerder) is gearresteerd, hoewel de arrestatie mogelijk is mogelijk gemaakt via hacking-operaties, “zei Williams.
Voor degenen die na de terugkeer van de groep werden getroffen door ransomware, zei Williams dat het onwaarschijnlijk was dat de regering decoderingssleutels had of dat de overgebleven bendeleden ze zouden vrijgeven.
“Na de verstoringen in juli, denkt REvil dat REvil de campagnesleutels heeft gereset die door elk filiaal worden gebruikt. Core REvil-gebruiker 0_neday kondigde aan dat campagnesleutels zouden worden gegeven aan REvil-filialen zodat ze konden blijven onderhandelen met hun slachtoffers. Het lijkt op dit moment onwaarschijnlijk dat de De Amerikaanse regering heeft een hoofdsleutel voor REvil”, legt Williams uit.
“Na het verzet over het niet vrijgeven van de campagnesleutel die bij de Kaseya-aanval werd gebruikt, is het moeilijk te geloven dat de overheid meer negatieve publiciteit zou riskeren. Individuele aangesloten partijen kunnen hun campagnesleutels vrijgeven, maar het lijkt op dit moment twijfelachtig dat zal de kerngroep van REvil.”
Williams voegde eraan toe dat REvil-filialen regelmatig dubbele afpersing gebruikten – de exfiltratie van gegevens van slachtoffernetwerken met de dreiging van vrijgave – om betaling af te dwingen. Hij merkte op dat deze filialen doorgaans in lijn blijven en geen gegevens vrijgeven, omdat ze hierdoor zouden worden verwijderd uit toekomstig werk met de kerngroep.
Maar nu het werk van REvil opdroogt, hebben filialen nieuwe inkomstenbronnen nodig.
“Het zal geen verrassing zijn om gestolen te zien worden verkocht op het dark web. Ik verwacht dat sommige organisaties die dachten dat hun gegevens veilig waren omdat ze een REvil-losgeld betaalden, ruw wakker worden geschud”, vertelde Williams aan ZDNet.
Beveiliging
Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Deze nieuwe phishing-aanval bevat een bewapend Excel-bestand Heeft iemand anders stiekem toegang tot je iPhone of iPad? Aanvallen in de toeleveringsketen zijn het nieuwe favoriete wapen van hackers Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Overheid – US Security TV Data Management CXO Datacenters 