Cybersäkerhetsexperter har berättat för Reuters att brottsbekämpande tjänstemän från flera länder var inblandade i störningen av REvil ransomware-gänget, som blev mörkt för andra gången på söndagen.
Rykten och frågor om gruppens senaste försvinnande dominerade konversation denna vecka efter att Recorded Futures säkerhetsexpert Dmitry Smilyanets delade flera meddelanden på Twitter från '0_neday' – en känd REvil-operatör – och diskuterade vad som hände på det cyberkriminella forumet XSS. Han hävdade att någon tog kontroll över gruppens Tor-betalningsportal och webbplats för dataläckor.
I meddelandena förklarar 0_neday att han och “Okänd” – en ledande representant för gruppen – var de enda två medlemmarna i gänget som hade REvils domännycklar. “Okänd” försvann i juli, vilket lämnade de andra medlemmarna i gruppen att anta att han dog.
Gruppen återupptog sin verksamhet i september, men i helgen skrev 0_neday att REvil-domänen hade nåtts med nycklarna till “Okänd”.
I ett annat meddelande sa 0_neday: “Servern komprometterades och de letade efter mig. För att vara exakt raderade de sökvägen till min dolda tjänst i torrc-filen och tog upp sin egen så att jag skulle åka dit. Jag kollade på andra — det var det inte. Lycka till, alla, jag är iväg.”
Nu har Reuters bekräftat att brottsbekämpande tjänstemän från USA och andra länder, tillsammans med ett antal cybersäkerhetsexperter, låg bakom åtgärder 0_nedag beskrivs på söndagen.
VMWares chef för cybersäkerhetsstrategi Tom Kellerman och andra källor sa till Reuters att regeringarna hackade REvils infrastruktur och tvingade den offline.
FBI och Vita huset svarade inte på förfrågningar om kommentarer.
Jake Williams, CTO för BreachQuest, berättade för ZDNet att REvil som äventyrats har talats om i slutna CTI-grupper sedan åtminstone den 17 oktober.
“Det var känt senast den 17:e att kärngruppsmedlemmarna bakom REvil med största sannolikhet äventyrades. Genom att ställa upp Tors dolda tjänster visade någon att de hade de privata nycklar som krävdes för att göra det. Detta var faktiskt slutet på REvil, vilket var har redan problem med att attrahera affiliates efter att dess infrastruktur gick offline i juli efter Kaseya-attacken,” sa Williams.
“För att locka till sig dotterbolag hade REvil erbjudit upp till 90 % vinstandelar, men hittade fortfarande få personer. Efter att Tors dolda tjänst slogs på, vilket visade innehav av de privata nycklarna, var det uppenbart att gruppen hade brutits och de skulle inte kunna locka nya dotterbolag för verksamheten. En stor öppen fråga i mitt sinne är om återaktiveringen av Tors dolda tjänster var ett kontraspionagemisstag av brottsbekämpande myndigheter eller var en avsiktlig handling för att skicka ett meddelande. Det finns säkert argument för båda fallen .”
FBI har mött motreaktioner de senaste veckorna eftersom de nyligen avslöjade att de lyckats skaffa en universell dekrypteringsnyckel för de hundratals offer som drabbats av ransomware-attacken på Kaseya.
Men FBI-tjänstemän sa till kongressen att de väntade med att tillhandahålla nycklarna till offren i veckor eftersom de planerade en insats i flera länder för att ta ner REvils infrastruktur. Det slutade med att REvil stängde butiken innan operationen kunde genomföras, och FBI delade så småningom ut nycklarna till offren och hjälpte ett företag att skapa en universell dekryptering.
Reuters rapporterade att när gruppen återuppstod i september, startade de faktiskt om servrarna som hade tagits över av brottsbekämpande tjänstemän. Detta ledde till den senaste brottsbekämpande åtgärden, enligt Reuters, som tillade att operationen fortfarande pågår.
Williams noterade att det verkar troligt att åtminstone några arresteringar var inblandade, vilket pekar tillbaka på de ursprungliga meddelandena från 0_neday.
“Lanseringen av den dolda tjänsten indikerar att någon annan har de privata nycklarna för sina dolda tjänster. Även om nycklarna potentiellt kunde ha förvärvats rent genom att hacka tillbaka, är det svårt att föreställa sig att så är fallet med tanke på Unknowns försvinnande också. Den uppenbara slutsatsen är att Det är troligt att Okänd (eller en nära medkonspirator) arresterades, även om gripandet kan ha möjliggjorts via hacking-back-operationer, säger Williams.
För dem som drabbats av ransomware efter gruppens återkomst sa Williams att det var osannolikt att regeringen hade dekrypteringsnycklar eller att de återstående gängmedlemmarna skulle släppa dem.
“Efter störningarna i juli tror man att REvil har återställt kampanjnycklarna som används av varje affiliate. Kärnanvändare av REvil 0_neday meddelade att kampanjnycklar skulle ges till REvils affiliates så att de kunde fortsätta att förhandla med sina offer. Det verkar osannolikt vid denna tidpunkt att USA:s regering har en huvudnyckel för REvil,” förklarade Williams.
“Efter motreaktionen över att inte släppa kampanjnyckeln som användes i Kaseya-attacken är det svårt att tro att regeringen skulle riskera mer negativ publicitet. Enskilda medlemsförbund kan släppa sina kampanjnycklar, men det verkar tveksamt just nu att kärngruppen REvil kommer att göra det.”
Williams tillade att REvils medlemsförbund regelbundet använde dubbel utpressning – exfiltrering av data från offernätverk med hot om frigivning – för att tvinga fram betalning. Han noterade att dessa affiliates vanligtvis håller sig i linje och släpper inte data eftersom det skulle ta bort dem från framtida arbete med kärngruppen.
Men nu när arbetet från REvil kommer att torka ut, kommer medlemsförbunden att behöva nya intäktskällor.
“Det kommer inte att vara förvånande att se stulna säljas på den mörka webben. Jag antar att vissa organisationer som trodde att deras data var säkra eftersom de betalade en REvil lösensumma står inför ett oförskämt uppvaknande”, säger Williams till ZDNet.
Säkerhet
Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick. Denna nya nätfiskeattack har en vapeniserad Excel-fil Har någon annan i hemlighet tillgång till din iPhone eller iPad? Supply chain attacker är hackarens nya favoritvapen Cybersecurity 101: Protect your privacy from hackers, spies, the government
Relaterade ämnen:
Regering – USA Security TV Data Management CXO Data Centers 