Operatørene bak REvil ransomware -gruppen har dukket opp igjen etter angivelig å ha stengt butikken etter det omfattende angrepet på Kaseya som forårsaket tusenvis av ofre 4. juli.
Sikkerhetsforskere sa at alle de mørke nettstedene for den produktive ransomware -gruppen – inkludert betalingsnettstedet, gruppens offentlige nettsted, 'helpdesk' -chatten og deres forhandlingsportal – gikk frakoblet 13. juli etter at Kaseya -angrepet hadde fordømt verdensomspennende fordømmelse og tøffe trusler fra amerikanske lovgivere.
USAs president Joe Biden snakket personlig med Russlands president Vladmir Putin etter angrepet, og mange tilskrev REvils nedleggelse av samtalen, der Biden presset Putin om ransomware -angrep som stammer fra russisk jord.
Til tross for samtalen, nektet både amerikanske myndigheter og russiske tjenestemenn ethvert engasjement i REvils forsvinning i juli.
Men dusinvis av sikkerhetsforskere tok til sosiale medier på tirsdag for å vise at gruppens Happy Blog og andre nettsteder knyttet til REvil hadde dukket opp igjen. Bleeping Computer rapporterte at den nyeste oppføringen var fra et offer som ble angrepet 8. juli.
Sikkerhetsforskere fra Recorded Future og Emsisoft bekreftet begge at mye av gruppens infrastruktur var tilbake på nettet.
Ransomware -ekspert Allan Liska fortalte ZDNet at de fleste forventet at REvil skulle komme tilbake, men med et annet navn og en ny ransomware -variant.
“Ting ble definitivt varme for dem en stund, så de trengte å la rettshåndhevelsen kjøle seg ned. Problemet (for dem) er, hvis dette virkelig er den samme gruppen, ved å bruke den samme infrastrukturen, kjøpte de ikke egentlig noen avstand fra rettshåndhevelse eller forskere, som kommer til å sette dem rett tilbake i trådkorset til bokstavelig talt alle rettshåndhevelsesgrupper i verden (unntatt Russlands), “forklarte Liska.
” Jeg vil også legge til at jeg Jeg har sjekket alle de vanlige kodelagrene, som VirusTotal og Malware Bazaar, og jeg har ikke sett noen nye prøver lagt ut ennå. Så hvis de har lansert nye ransomware -angrep, har det ikke vært mange av dem. “
Et skjermbilde av REvils Happy Blog.
Brett Callow
En rapport fra sikkerhetsselskapet BlackFog om ransomware -angrep i august fant at REvil sto for mer enn 23% av angrepene de sporet i forrige måned. Det var mer enn noen annen gruppe sporet i rapporten.
REvil angrep minst 360 amerikanske organisasjoner i år, ifølge Emsisoft-trusselanalytiker Brett Callow. RansomWhere -forskningsnettstedet sier at gruppen har hentet inn mer enn $ 11 millioner i år, med høyprofilerte angrep på Acer, JBS, Quanta Computer og mer.
REvil ble stengt i juli og etterlot noen ofre på et vanskelig sted. Mike Hamilton, tidligere CISO i Seattle og nå CISO for ransomware -reparasjonsfirmaet Critical Insight, sa at ett selskap betalte løsepenger etter Kaseya -angrepet og mottok dekrypteringsnøklene fra REvil, men fant ut at de ikke fungerte.
REvil tilbød vanligvis en help desk -funksjon som hjelper ofre med å få tilbake dataene sine.
“Noen av kundene våre gikk veldig lett av. Hvis du hadde den agenten installert på uviktige datamaskiner, bygde du dem opp igjen og kom tilbake til livet. Men vi fikk en nødanrop for noen dager siden fra et selskap som ble hardt rammet fordi de hadde et selskap som administrerte mange av serverne sine med Kaseya VSA. De fikk mange av serverne deres rammet og hadde mye informasjon om dem, og derfor tok de inn forsikringsselskapet sitt og bestemte seg for å betale løsepenger, sier Hamilton.
“De fikk dekrypteringsnøkkelen, og da de begynte å bruke den, fant de ut at det noen steder fungerte og andre steder ikke. Disse ransomware -gjengene har kundesupport, men plutselig ble de mørke. De er helt borte, og det er ingen hjelp, og disse menneskene sitter bare fast. De kommer til å miste mye data, og de kommer til å bruke mye penger på å fullstendig bygge opp nettverket igjen fra bunnen av. “
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Government Security TV Data Management CXO Data Centers 