Die berüchtigte russische Ransomware-Gang „REvil“ taucht wieder auf und gibt Anlass zu Sicherheitsbedenken
Dark-Web-Portale, die einst von der REvil-Ransomware-Bande verwaltet wurden, sind heute wieder online gegangen, was Bedenken auslöst, dass die berühmte Ransomware-Bande ihre Angriffe bald wieder aufnehmen wird.
Während der US-Feiertage am 4. Juli schaltete die Gruppe ihre Web-Infrastruktur nach einem Massen-Ransomware-Angriff auf Kaseya-Server ab. Dies waren die gleichen Vorfälle, die die Aufmerksamkeit der Beamten des Weißen Hauses auf sich zogen.
Sowohl die US-amerikanischen als auch die russischen Behörden haben jedoch jede Beteiligung an dem mysteriösen Verschwinden dieser russischsprachigen Ransomware-Bande bestritten .
Damals sieht es so aus, als hätte sich die Gruppe aufgelöst und einen neuen Ransomware-Angriff auf verschiedene US-Strafverfolgungsermittler und Sicherheitsfirmen geplant .
Kurz nach einer Zunahme von Ransomware-Angriffen in den USA ergriff Joe Biden (US-Präsident) die Initiative und veranstaltete ein Cybersicherheitstreffen mit CEOs verschiedener Technologieriesen. Der Zweck dieses Treffens bestand darin, zu erörtern, wie Unternehmen die Cybersicherheit nach den jüngsten Wellen von Ransomware-Angriffen und Sicherheitsverletzungen gewährleisten.
Laut Social-Media-Tweets verschiedener Sicherheitsforscher waren mehrere Websites, einschließlich Happy Blog, die direkt mit REvil verbunden sind, wieder aufgetaucht .
Laut einem Tweet des Chefredakteurs von Bleeping Computer stammt der neueste Eintrag von einem Opfer, das am 8 Juli angegriffen wurde .
Laut Ransomware-Experte Allan Liska war die Rückkehr von REvil unvermeidlich, diesmal jedoch mit einem anderen Namen und einer neuen Ransomware-Variante.
Für sie wurde es definitiv eine Weile heiß, also mussten sie die Strafverfolgung abkühlen lassen. Das Problem (für sie) ist, wenn es sich wirklich um dieselbe Gruppe handelt, die dieselbe Infrastruktur nutzt, haben sie sich nicht wirklich Abstand von Strafverfolgungsbehörden oder Forschern erkauft, was sie direkt wieder ins Fadenkreuz buchstäblich aller Gesetze bringen wird Durchsetzungsgruppe der Welt (mit Ausnahme der russischen). Ich möchte auch hinzufügen, dass ich alle üblichen Code-Repositories wie VirusTotal und Malware Bazaar überprüft habe und noch keine neuen veröffentlichten Beispiele gesehen habe. Wenn sie also neue Ransomware-Angriffe gestartet haben, waren es nicht viele.
Wie der Bedrohungsanalyst von Emisoft, Brett Callow, sagte, hat REvil in diesem Jahr mindestens 360 in den USA ansässige Organisationen angegriffen .
Mehrere REvil-Opfer befanden sich in einer schwierigen Lage, selbst nachdem die Gruppe im Juli geschlossen wurde. Zum Beispiel sagte Mike Hamilton, ehemaliger CISO von Seattle und jetzt CISO des Ransomware-Beseitigungsunternehmens Critical Insight, dass ein Unternehmen nach dem Kaseya-Angriff ein Lösegeld bezahlte und die Entschlüsselungsschlüssel von REvil erhielt, aber feststellte, dass sie nicht funktionierten.
Einige unserer Kunden sind ganz einfach davongekommen. Wenn Sie diesen Agenten auf unwichtigen Computern installiert hatten, haben Sie sie einfach neu erstellt und wieder zum Leben erweckt. Aber wir haben vor ein paar Tagen einen Notruf von einem Unternehmen erhalten, das schwer getroffen wurde, weil ein Unternehmen viele seiner Server mit dem Kaseya VSA verwaltete. Viele ihrer Server wurden angegriffen und sie hatten eine Menge Informationen über sie, also brachten sie ihre Versicherungsgesellschaft hinzu und beschlossen, das Lösegeld zu zahlen.
Laut einem von der Sicherheitsfirma BlackFog veröffentlichten Bericht waren von allen Ransomware-Angriffen im August REvil für mehr als 23 % der Angriffe verantwortlich, die sie im letzten Monat verfolgten. Das war mehr als jede andere Gruppe, die in dem Bericht verfolgt wurde.