Pahamaineinen venäläinen Ransomware Gang “REvil” nostaa esiin turvallisuushuolia
REvil ransomware -jengin aikoinaan hallinnoimat synkät verkkoportaalit ovat palanneet verkkoon tänään, mikä herättää huolta siitä, että kuuluisa kiristysohjelmajengi aloittaa pian hyökkäyksensä uudelleen.
Heinäkuun 4 päivän USA:n loman aikana ryhmä katkaisi verkkoinfrastruktuurinsa Kaseya-palvelimia vastaan tehdyn massiivisen kiristysohjelmahyökkäyksen jälkeen. Nämä olivat samat tapaukset, jotka herättivät Valkoisen talon virkamiesten huomion.
Sekä Yhdysvaltojen että Venäjän viranomaiset ovat kuitenkin kiistäneet osallisuutensa tämän venäjänkielisen kiristysohjelmajoukon salaperäiseen katoamiseen.
Tuolloin näyttää siltä, että ryhmä olisi hajotettu ja sen tarkoituksena oli suorittaa uusi kiristysohjelmahyökkäys useisiin yhdysvaltalaisiin lainvalvontaviranomaisiin ja turvayrityksiin.
Pian sen jälkeen, kun kiristysohjelmahyökkäysten määrä lisääntyi Yhdysvalloissa, Joe Biden (USA:n presidentti) teki aloitteen ja isännöi kyberturvallisuustapaamista eri teknologiajättiläisten toimitusjohtajien kanssa. Tämän tapaamisen tarkoituksena oli keskustella siitä, kuinka yritykset varmistavat kyberturvallisuuden viime aikojen kiristysohjelmahyökkäysten ja tietoturvaloukkausten jälkeen.
Erilaisten tietoturvatutkijoiden sosiaalisen median twiittien mukaan useita verkkosivustoja, mukaan lukien Happy Blog, jotka ovat suoraan yhteydessä REviliin, olivat ilmestyneet uudelleen.
Beeping computer -lehden päätoimittajan twiitin mukaan uusin kirjoitus oli uhrilta, jonka kimppuun joutui 8. heinäkuuta.
Kiristysohjelmaasiantuntija Allan Liskan mukaan REvilin paluu oli väistämätöntä, mutta tällä kertaa eri nimellä ja uudella kiristysohjelmavariantilla.
Asiat menivät heille varmasti kuumaksi jonkin aikaa, joten heidän piti antaa lainvalvontaviranomaisten jäähtyä. Ongelmana (heille) on se, että jos kyseessä on todella sama ryhmä, samaa infrastruktuuria käyttäen he eivät todellakaan ostaneet itseään etäisyyttä lainvalvontaviranomaisista tai tutkijoista, mikä asettaa heidät takaisin kirjaimellisesti jokaisen lain ristiin. täytäntöönpanoryhmä maailmassa (Venäjää lukuun ottamatta). Lisään myös, että olen tarkistanut kaikki tavalliset koodivarastot, kuten VirusTotalin ja Malware Bazaarin, enkä ole vielä nähnyt uusia näytteitä lähetetyksi. Joten jos he ovat käynnistäneet uusia kiristysohjelmahyökkäyksiä, niitä ei ole ollut paljon.
Emisoftin uhka-analyytikkona Brett Callow sanoi, että REvil hyökkäsi ainakin 360 yhdysvaltalaista organisaatiota vastaan tänä vuonna.
Useat REvilin uhrit joutuivat vaikeaan paikkaan, vaikka ryhmä suljettiin heinäkuussa. Esimerkiksi Mike Hamilton, entinen Seattlen CISO ja nyt ransomware-korjausyrityksen Critical Insightin CISO, sanoi, että yksi yritys maksoi lunnaita Kaseya-hyökkäyksen jälkeen ja sai salauksenpurkuavaimet REvililtä, mutta huomasi, että ne eivät toimineet.
Jotkut asiakkaistamme pääsivät todella helposti. Jos agentti oli asennettuna merkityksettömille tietokoneille, rakensit ne uudelleen ja palasit henkiin. Mutta saimme muutama päivä sitten hätäpuhelun yritykseltä, joka sai kovan iskun, koska heillä oli yritys, joka hallinnoi monia heidän palvelimiaan Kaseya VSA:lla. He saivat suuren osan palvelimistaan osumia ja heillä oli paljon tietoa niistä, joten he toivat vakuutusyhtiönsä ja päättivät maksaa lunnaat."
Turvayhtiö BlackFog julkaiseman raportin mukaan kaikista elokuun kiristysohjelmahyökkäyksistä REvil vastasi yli 23 % viime kuussa seuranneista hyökkäyksistä. Se oli enemmän kuin mikään muu raportissa seurattu ryhmä.