...
🧠 Blogi on omistettu VPN: n ja turvallisuuden, internetin tietosuojan aiheelle. Puhumme ajankohtaisista trendeistä ja uutisista, jotka liittyvät suojeluun.

REvil – Venäjänkielinen Ransomware Gang katoaa

16

Pahamaineinen venäjänkielinen ransomware-jengi REvil on mystisesti kadonnut internetistä suoritettuaan korkean profiilin hyökkäyksiä satoja yrityksiä vastaan ​​maailmanlaajuisesti.

On edelleen epäselvää, miksi ryhmä on siirtynyt offline-tilaan sekä sen blogi- ja maksusivustot. Mutta sen äkillinen katoaminen vain muutama päivä presidentti Bidenin lausunnon jälkeen herättää kysymyksiä siitä, oliko Yhdysvaltain viranomaisilla jotain tekemistä sen kanssa.

Kuka on REvil?

REvil (Ransomware Evil tai muuten tunnetaan nimellä Sobinokibi) on venäjänkielinen jengi. Ne ovat kohdentaneet tuhansia korkean profiilin yrityksiä kaikkialla maailmassa. He uhkasivat julkaista tiedot Happy Blogissaan, elleivät kohteet maksa lunnaita.

Kukaan ei ole pystynyt määrittämään heidän sijaintiaan, mutta sen uskotaan olevan Venäjällä, koska jengi ei ole kohteena venäläisille yrityksille tai entisen neuvostoblokin alueille.

Aiemmin Britannian ja Yhdysvaltojen viranomaiset ovat myös syyttäneet virtuaalisten yksityisverkkojen (VPN)valtaa kohdentaakseen organisaatioita maailmanlaajuisesti ja piilottaakseen heidän digitaalisen jalanjäljensä. Venäjän Yhdysvaltain-lähetystö kuitenkin kiisti syytökset.

REvil Targets

Toukokuussa 2020 REvil varasti lähes yhden teratavun luottamuksellisia tietoja asianajotoimistolta Grubman Shire Meiselas & Sacks väittäen, että hänellä oli "likapyykkiä" presidentti Trumpille. Joukko uhkasi julkaista tietoja verkossa, jos 42 miljoonan dollarin kiristysohjelmaa ei makseta. Porukka totesi:

"Seuraava henkilö, jonka julkaisemme, on Donald Trump. Vaalikilpailu on meneillään, ja löysimme tonnin likapyykkiä ajoissa. Herra Trump, jos haluatte pysyä presidenttinä, tönäkää miehiä terävällä kepillä, muuten saatat unohtaa tämän kunnianhimon ikuisiksi ajoiksi."

Maaliskuussa 2021 REvil hyökkäsi Harris Federationia vastaan, minkä seurauksena organisaation IT-järjestelmä suljettiin viikoiksi, mikä vaikutti tuhansiin käyttäjiin.

Huhtikuussa 2021 REvil kohdistui Appleen ja varasti suunnitelmat tulevista Apple-tuotteista, mukaan lukien Apple Watch, kannettavat tietokoneet ja paljon muuta. Joukko vaati tiedoista 50 miljoonaa dollaria. Hyökkäyksen jälkeen he julkaisivat Happy Blogissaan:

"Jotta ei odoteta tulevaa Apple-esittelyä, me REvil-ryhmä toimitamme tänään tietoja monien niin rakastaman yrityksen tulevista julkaisuista. Tim Cook voi kiittää Quanta.

Toukokuussa 2021 brasilialainen lihanjalostusyhtiö JBS SA joutui hyökkäyksen kohteeksi, mikä sulki sen teurastamot. Vain muutaman päivän hyökkäyksen jälkeen Valkoinen talo ilmoitti, että REvil saattaa olla hyökkäyksen takana. JBS maksoi REvilille 11 miljoonan dollarin lunnaat Bitcoinissa.

REvilin viimeisin kohde oli Kaseya, yhdysvaltalainen teknologiatoimittaja. 2 heinäkuuta 2021 REvil hyökkäsi Kaseya-järjestelmiin ja vaati 70 miljoonan dollarin lunnaita tietojen palauttamiseksi. Ruokakauppaketju ruotsalainen Coop joutui hyökkäyksen seurauksena sulkemaan lähes 800 myymälää useiksi päiviksi.

Tämä oli yksi historian suurimmista kiristysohjelmahyökkäyksistä. Hyökkäys vaikutti tuhansiin pieniin yrityksiin ympäri maailmaa. Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston jälkeen kaikkia käyttäjiä pyydettiin sulkemaan VSA-palvelimet välittömästi.

Hyökkäys ajoitettiin täydellisesti perjantaina, ennen pitkää lomaa Yhdysvalloissa, jotta se levisi mahdollisimman nopeasti ilman havaitsemista.

Biden ryhtyy toimiin REviliä vastaan

Iskun jälkeen presidentti Joe Biden päätti ryhtyä toimiin ja määräsi Yhdysvaltain tiedustelupalvelut tutkimaan satoihin amerikkalaisyrityksiin kohdistuneen hyökkäyksen taustalla olevaa ryhmää.

Heinäkuun 10. päivänä Biden soitti presidentti Vladimir Putinille ja sanoi, että hänen on "ryhdyttävä toimiin". Biden sanoi edelleen:

"Tein hänelle hyvin selväksi, että Yhdysvallat odottaa, että kun lunnasohjelma on tulossa hänen maaperään, vaikka se ei ole valtion sponsoroima, odotamme heidän toimivan, jos annamme heille tarpeeksi tietoa toimiakseen sen suhteen, kuka hän on."

Kun Bidenilta kysyttiin, olisiko sillä seurauksia, hän hymyili ja sanoi: "Kyllä." Hän sanoi myös, että Yhdysvallat ryhtyy toimiin ja kaataa REvil-ryhmän palvelimet, jos Moskova ei toimi.

REvil-jengin katoaminen

REvilin verkkosivustot, blogit ja "koko niiden infrastruktuuri" ovat hämärtyneet, sanoi Allen Liska, Recorded Future -yhtiön tiedustelu-analyytikko. Liska sanoi myös, että REvilin julkinen tiedottaja, jota kutsutaan myös nimellä "Unknown", " ei ole ollut aktiivinen ilmoitustauluilla viime torstaista lähtien", ja sivusto on ollut reagoimatta jonkin aikaa.

Vielä on epäselvää, miksi ryhmä on yhtäkkiä kadonnut internetistä vai onko katoaminen vain väliaikaista vai pysyvää.

Viimeaikaiset muutokset ovat herättäneet spekulaatioita siitä, oliko siirto REvilin oma päätös lopettaa entisen venäläisen kyberrikollisjoukon DarkSiden kaltaiset toiminnot vai oliko se seurausta Yhdysvaltain hallituksen johtamasta toiminnasta.

John Hultquist Mandiant Threat Intelligencestä sanoi:

"Tilanne on vielä kehittymässä, mutta todisteet viittaavat siihen, että REvil on kärsinyt suunnitelmallisesta, samanaikaisesta infrastruktuurinsa purkamisesta joko operaattorien itsensä toimesta tai teollisuuden tai lainvalvontatoimien kautta… Jos kyseessä olisi jonkinlainen häiriötoiminto, täydellisiä yksityiskohtia ei ehkä koskaan tule. sytyttää."

Tämä on tietysti hyvä asia, mutta ei kaikille kohdeyrityksille, kuten Brett Callow Emsisoftista huomauttaa :

"Jos lainvalvonta on onnistunut häiritsemään jengin toimintaa, se olisi tietysti hyvä asia, mutta voisi aiheuttaa ongelmia kaikille yrityksille, joiden tiedot ovat tällä hetkellä salattuja. Heillä ei olisi mahdollisuutta maksaa REvilille avaimesta, joka tarvitaan heidän tietojensa salauksen purkamiseen."

Liska huomautti myös, että REvilin sivuston omistajuutta ei ole vielä muutettu, mikä vähentää verkkotunnuksen takavarikoinnin mahdollisuutta. Hän sanoi myös: " Tämä voi viitata siihen, että nämä ovat itseohjautuneita poistoja (liian aikaista sanoa)."

Toistaiseksi Valkoisen talon kansallisen turvallisuusneuvoston ja Cyber ​​Commandin edustajat eivät ole vielä kommentoineet viimeisintä REvilin katoamista. Vaikka Yhdysvaltain hallitus oli REvilin katoamisen takana, on muita lunnasohjelmaryhmiä, jotka ovat edelleen aktiivisia – mikä nostaa turvallisuushuolia maailmanlaajuisesti.

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja