Cyberkriminelle, der hævder at være en del af REvil ransomware -gruppen, har påstået, at banden lukker butikken, efter at gruppen mistede kontrollen over vital infrastruktur og havde interne tvister.
Optaget Fremtidig sikkerhedsekspert Dmitry Smilyanets delte flere meddelelser på Twitter fra '0_neday' – en kendt REvil -operatør – og diskuterede, hvad der skete på cyberkriminalforum XSS. Han påstod, at nogen tog kontrol over gruppens Tor -betalingsportal og datalækningswebsted.
I meddelelserne forklarer 0_neday, at han og “Unknown” – en ledende repræsentant for gruppen – var de eneste to medlemmer af banden, der havde REvils domænenøgler. “Ukendt” forsvandt i juli, så de andre medlemmer af gruppen antog, at han døde. Gruppen genoptog driften i september, men i weekenden skrev 0_neday, at REvil -domænet var blevet tilgået ved hjælp af tasterne “Ukendt”.
I en anden meddelelse sagde 0_neday: “Serveren var kompromitteret, og de ledte efter mig. For at være præcis slettede de stien til min skjulte tjeneste i torrc -filen og hævede deres egen, så jeg ville gå derhen. Jeg tjekkede på andre-dette var ikke. Held og lykke alle sammen, jeg er afsted. “
Dmitry Smilyanets
REvil lukkede oprindeligt butikken i juli efter det ødelæggende angreb på Kaseya inficerede hundredvis af organisationer over hele verden og forårsagede utallige skader. Gruppen er en af de mest produktive ransomware -bander, der i øjeblikket opererer, og angreb hundredvis af vitale virksomheder og organisationer i løbet af de sidste par år.
Men gruppen tiltrak en enorm retshåndhævelse efter angrebet på Kaseya den 4. juli og sluttede operationen den 13. juli. I september vendte gruppen tilbage og fortsatte med at angribe snesevis af virksomheder i de sidste par uger.
Ifølge The Record skete nedlukningen den 13. juli, fordi “Ukendt” angiveligt stjal gruppens penge og lukkede deres servere, hvilket gjorde det svært for de resterende at betale tilknyttede virksomheder.
Smilyanets fortalte nyhedsbureauet, at han håbede, at gruppen var lukket ned på grund af retshåndhævende handlinger fra amerikanske embedsmænd. FBI og andre amerikanske agenturer stod over for betydelige tilbageslag i løbet af de sidste par uger på grund af deres handlinger under REvil -angrebet på Kaseya.
FBI indrømmede, at det havde dekrypteringsnøgler, der kunne have hjulpet de næsten 1.500 ransomware -ofre, der blev ramt af Kaseya -angrebet, men besluttede sig imod det, fordi de forberedte en operation for at forstyrre REvils infrastruktur. Gruppen lukkede butikken, før operationen kunne ses igennem, og FBI er blevet hårdt kritiseret af de berørte organisationer og lovgivere for at vente med at udlevere dekrypteringsnøglerne.
Bitdefender frigav senere en gratis dekrypteringsapparat til alle de organisationer, der er berørt af Kaseya -angrebet.
Meninger om situationen var blandet blandt eksperter, og nogle advarede folk til ikke at tro kriminelles ord. Andre sagde, at situationen var fornuftig, fordi REvil blev udsat for kritik fra sine egne datterselskaber for deres handlinger.
Allan Liska, en ransomware -ekspert med Recorded Future, fortalte ZDNet, at der var to teorier i hans sind.
“Ukendt (den tidligere leder for REvil) 'vendte tilbage fra de døde' og var ikke glad for, at hans softwareudviklere forsøgte at skubbe hans ransomware. Den anden er, at et regeringsorgan nåede at trænge igennem serveren, før de lukkede shoppen første gang, fik Unknown's private nøgle og besluttede at tage disse nye skuespillere ned, “sagde Liska.
“Normalt er jeg temmelig afvisende over for 'retshåndhævelse' konspirationsteorier, men i betragtning af at retshåndhævelse var i stand til at trække nøglerne fra Kaseya -angrebet, er det en reel mulighed. Relanceringen af REvil var dårligt tænkt fra starten. Rebranding sker en meget i ransomware efter en lukning. Men ingen bringer gammel infrastruktur, der bogstaveligt talt blev målrettet af alle retshåndhævende operationer, der ikke hedder Rusland i verden, igen online. Det er bare dumt. “
Liska sagde, at mens nogle kan stille spørgsmålstegn ved, om dramaet i gruppen er ægte, mener han, at det er legitimt og bemærker den interne kontrovers, der har opslugt andre ransomware -grupper i år.
“Der er mange penge i ransomware lige nu, og med masser af penge kommer drama, “sagde han.
Men mens REvil -operatørerne muligvis har lukket denne specifikke gruppe ned, sagde Liska, at der ikke er nogen tvivl om, at alle, der var en del af REvil -organisationen, fortsat vil udføre ransomware -angreb.
“Uanset om det er ved at oprette en ny ransomware eller blive tilknyttet en anden ransomware -gruppe, er det svært at opgive de penge, der kan tjenes på ransomware,” sagde Liska.
Sean Nikkel, Digital Shadows senior cyber trussel intel analytiker, sagde, at REvil allerede stod over for yderligere kontrol fra det bredere cyberkriminelle samfund på grund af drama, der involverede beskyldninger om ikke at betale de involverede i sit partnerskabsprogram og hævder, at det effektivt afskærede datterselskaber og delte dekrypteringsnøgler med ofre.
På XSS sagde Nikkel, at 0_neday blev spurgt om, hvem der ville arbejde med REvil efter denne seneste række problemer, og repræsentanten svarede: “Af alt at dømme, arbejder jeg på egen hånd.”
“Reaktion på nyhederne fra andre forummedlemmer varierede fra stort set usympatisk til at grænser op til konspirationsteori. Det vigtigste debatområde var, om gruppen ville rebrand for tredje gang, hvor mange stillede spørgsmålstegn ved, om cyberkriminalitet stadig ville stole på REvil-relaterede ordninger, ”Forklarede Nikkel.
Nikkel tilføjede, at meningerne syntes delte om, hvorvidt REvils ry ville sikre gruppens fortsatte succes, hvor mange påpegede, at al omtale er god omtale og forudsagde, at løfte om overskud stadig ville lokke datterselskaber til at arbejde med gruppen i fremtiden.
“En teori om rundene antog, at et utilfreds tidligere teammedlem kombineret med dårlig adgangskodehygiejne kunne have resulteret i angrebet,” tilføjede Nikkel og bemærkede, at mange brugere satte spørgsmålstegn ved, at dette emne endda var bliver overhovedet diskuteret på webstedet i betragtning af XSS's forbud mod maj 2021 på ransomware-relateret indhold.
“XSS -repræsentanten for LockBit -ransomware -gruppen hævdede at have forudsagt denne hændelse og gav links til deres 'profetiske' forumindlæg. De satte spørgsmålstegn ved REvil -repræsentantens hensigt om at forlade forummet og udtalte 'hvis domænerne er blevet kapret, dette er 100% bevis på, at nogen havde en rod på serveren, hvilket betyder, at din database også er lækket. ' LockBit -repræsentanten fremsatte endda ideen om, at den nye REvil -forumkonto faktisk kan drives af retshåndhævende myndigheder, “sagde Nikkel.
Nikkel bemærkede, at efter hans mening viser tonen i REvils forumindlæg, at gruppen vil være tilbage i en eller anden form. Men de kan have svært ved at vende tilbage efter at have annonceret for datterselskaber på en fordelingsbasis på 90/10, hvilket er mere end gruppen har delt i tidligere år.
”På trods af dette og de mange kontroverser, som REvil har været involveret i, som kunne have udhulet al tillid til og vilje til at samarbejde med gruppen, ser det ud til, at gruppens skændsel og løftet om et højt overskud simpelthen er for meget et lokkemiddel for mange cyberkriminelle, der er vendt tilbage til arbejdet med gruppen gang på gang, «sagde Nikkel.
Senior sikkerhedsforsker for DomainTools Chad Anderson tilføjede, at hans team opdagede, at REvil havde en bagdør i sit RaaS -tilbud. Derefter bekræftede flere partnere i REvil -programmet, at de var blevet flået af skaberne.
“Det er svært at sige, hvad der er reelt på dette tidspunkt. Vi har set grupper forsvinde for kun at blive genfødt som et mere komplet affiliate -program. Vi har set grupper af tilknyttede selskaber skifte til bedre betalingsmodeller, og vi har set gruppesider blive taget over af andre og deres kildekode lækket eller genbrugt, ”sagde Anderson til ZDNet.
“På dette tidspunkt tyder beviser på, at de private nøgler til Onion -skjulte tjenester, der understøtter REvil -betalingsinfrastrukturen, er blevet kompromitteret. Dette kan helt sikkert være en operation fra et statsligt agentur, men det er lige så sandsynligt uden hård bekræftelse, at det er en anden ransomware -gruppe. REvil lavede en mange affilierede virksomheder, da det viste sig, at deres kode havde en bagdør, der kunne lade REvil -operatører stjæle fra deres partnere. “
Emsisoft ransomware -ekspert Brett Callow var skeptisk over for, hvad der var skrevet i cyberkriminalitetsforumet, og bemærkede, at de dobbelt som pressemeddelelsestjenester til ransomware -bander.
“Trusselsaktører ved, at retshåndhævelse, forskere og journalister overvåger fora og bruger dem derfor til at udsende udsagn. De siger kun, hvad de vil have folk til at vide og tro, “Sagde Callow.
“Om REvil virkelig har lukket butikken, eller snyder deres partnere eller har en anden grund til at blive mørk, er umuligt at sige.”
Sikkerhed
Når din VPN er et spørgsmål om liv eller død, ikke stole på anmeldelser Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -administrerende direktør bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du en bedst betalte job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Government Security TV Data Management CXO Data Centers 