Eksperter på nettsikkerhet har fortalt Reuters at polititjenestemenn fra flere land var involvert i forstyrrelsen av gjengen REvil løsepenge, som ble mørkt for andre gang søndag.
Rykter og spørsmål om gruppens siste forsvinning dominerte samtale denne uken etter at Recorded Future sikkerhetsekspert Dmitry Smilyanets delte flere meldinger på Twitter fra '0_neday' – en kjent REvil -operatør – som diskuterte hva som skjedde på nettkriminalforum XSS. Han hevdet at noen tok kontroll over gruppens Tor-betalingsportal og datalekkasjenettsted.
I meldingene forklarer 0_neday at han og “Unknown” – en ledende representant for gruppen – var de eneste to medlemmene i gjengen som hadde REvils domenenøkler. “Ukjent” forsvant i juli, og lot de andre medlemmene av gruppen anta at han døde.
Gruppen gjenopptok driften i september, men denne helgen skrev 0_neday at REvil-domenet hadde blitt åpnet ved å bruke tastene til «Ukjent».
I en annen melding sa 0_neday: “Tjeneren ble kompromittert, og de lette etter meg. For å være presis, slettet de banen til min skjulte tjeneste i torrc-filen og reiste sin egen slik at jeg ville gå dit. Jeg sjekket på andre — dette var ikke. Lykke til, alle sammen; jeg er i gang.”
Nå har Reuters bekreftet at politimyndigheter fra USA og andre land, sammen med en rekke cybersikkerhetseksperter, sto bak handlinger 0_nedag beskrevet på søndag.
VMWares sjef for nettsikkerhetsstrategi Tom Kellerman og andre kilder fortalte Reuters at myndighetene hacket REvils infrastruktur og tvang den offline.
FBI og Det hvite hus svarte ikke på forespørsler om kommentarer.
Jake Williams, CTO i BreachQuest, sa til ZDNet at REvil blir kompromittert har blitt snakket om i lukkede CTI-grupper siden minst 17. oktober.
“Det ble kjent senest den 17. at kjernegruppemedlemmene bak REvil nesten helt sikkert ble kompromittert. Ved å stille opp Tor skjulte tjenester, demonstrerte noen at de hadde de private nøklene som kreves for å gjøre det. Dette var faktisk slutten på REvil, som var har allerede problemer med å tiltrekke seg tilknyttede selskaper etter at infrastrukturen gikk offline i juli etter Kaseya-angrepet,” sa Williams.
“For å tiltrekke seg tilknyttede selskaper, hadde REvil tilbudt opptil 90 % overskuddsandeler, men fant fortsatt få mottakere. Etter at den skjulte Tor-tjenesten ble slått på, og demonstrerte besittelse av de private nøklene, var det åpenbart at gruppen hadde blitt brutt og de ville ikke være i stand til å tiltrekke seg nye partnere for operasjoner. Et stort åpent spørsmål i mitt sinn er om gjenaktivering av Tor-skjulte tjenester var en motintelligensfeil av politiet eller var en forsettlig handling for å sende en melding. Det er absolutt argumenter for begge tilfellene .”
FBI har møtt tilbakeslag de siste ukene fordi de nylig avslørte at de klarte å skaffe en universell dekrypteringsnøkkel for de hundrevis av ofrene som ble berørt av løsepengevareangrepet på Kaseya.
Men FBI-tjenestemenn fortalte kongressen at de holdt på å gi nøklene til ofrene i flere uker fordi de planla en multi-land innsats for å ta ned REvils infrastruktur. REvil endte opp med å stenge butikken før operasjonen kunne gjennomføres, og FBI delte til slutt ut nøklene til ofrene og hjalp et selskap med å lage en universell dekryptering.
Reuters rapporterte at da gruppen dukket opp igjen i september, startet de faktisk serverne på nytt som ble overtatt av politimyndigheter. Dette førte til den siste rettshåndhevelsesaksjonen, ifølge Reuters, som la til at operasjonen fortsatt pågår.
Williams bemerket at det virker sannsynlig at minst noen arrestasjoner var involvert, og pekte tilbake på de opprinnelige meldingene fra 0_neday.
“Lanseringen av den skjulte tjenesten indikerer at noen andre besitter de private nøklene til sine skjulte tjenester. Selv om nøklene potensielt kan ha blitt anskaffet rent gjennom å hacke tilbake, er det vanskelig å forestille seg at det er tilfelle gitt Unknowns forsvinning også. Den åpenbare konklusjonen er at Det er sannsynlig at Ukjent (eller en nær medsammensvorne) ble arrestert, selv om arrestasjonen kan ha blitt aktivert via hacking-back-operasjoner, sa Williams.
For de som ble rammet av ransomware etter gruppens retur, sa Williams at det var lite sannsynlig at regjeringen hadde dekrypteringsnøkler eller at de gjenværende gjengmedlemmene ville slippe dem.
“Etter forstyrrelsene i juli antas det at REvil tilbakestilte kampanjenøklene som ble brukt av hver tilknyttede selskap. Kjernebruker av REvil 0_neday kunngjorde at kampanjenøkler ville bli gitt til REvil-tilknyttede selskaper slik at de kunne fortsette å forhandle med ofrene sine. Det virker usannsynlig på dette tidspunktet at Amerikanske myndigheter har en hovednøkkel for REvil,” forklarte Williams.
“Etter tilbakeslaget over å ikke frigi kampanjenøkkelen som ble brukt i Kaseya-angrepet, er det vanskelig å tro at regjeringen ville risikere mer negativ publisitet. Individuelle tilknyttede selskaper kan frigi kampanjenøklene sine, men det virker tvilsomt på dette tidspunktet at kjernegruppen REvil vil.”
Williams la til at REvil -tilknyttede selskaper regelmessig brukte dobbel utpressing – eksfiltrering av data fra offernettverk med trussel om frigjøring – for å tvinge til betaling. Han bemerket at disse tilknyttede selskapene vanligvis holder seg på linje og frigir ikke data fordi det ville fjerne dem fra fremtidig arbeid med kjernegruppen.
Men nå som arbeidet fra REvil vil tørke opp, trenger tilknyttede selskaper nye inntektskilder.
“Det vil ikke være overraskende å se stjålet salg på det mørke nettet. Jeg regner med at noen organisasjoner som trodde dataene deres var trygge fordi de betalte en REvil løsepenger, er inne for en frekk oppvåkning,” sa Williams til ZDNet.
Sikkerhet
Hackere skjuler den ondsinnede JavaScript-koden sin med et vanskelig triks Dette nye phishing-angrepet har en våpenbeskyttet Excel-fil Har noen andre i hemmelighet tilgang til din iPhone eller iPad? Supply chain attacks er hackers nye favorittvåpen Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene
Relaterte emner:
Government – US Security TV Data Management CXO Data Centers 