La famigerata gang russa di ransomware “REvil” riemerge sollevando preoccupazioni sulla sicurezza
I portali web oscuri una volta amministrati dalla banda di ransomware REvil sono tornati online oggi, suscitando preoccupazioni sul fatto che la celebre banda di ransomware riprenderà presto i suoi attacchi.
Durante le vacanze del 4 luglio negli Stati Uniti, il gruppo ha interrotto la propria infrastruttura web dopo un attacco ransomware di massa contro i server Kaseya. Questi sono stati gli stessi incidenti che hanno attirato l'attenzione dei funzionari della Casa Bianca.
Tuttavia, sia le autorità statunitensi che quelle russe hanno negato qualsiasi coinvolgimento nella misteriosa scomparsa di questa banda di ransomware di lingua russa.
A quel tempo, sembra che il gruppo fosse stato sciolto e pianificato di eseguire un nuovo attacco ransomware contro vari investigatori delle forze dell'ordine e società di sicurezza statunitensi.
Subito dopo l'aumento dell'aumento degli attacchi ransomware negli Stati Uniti, Joe Biden (Presidente degli Stati Uniti) ha preso l'iniziativa e ha ospitato un incontro sulla sicurezza informatica con vari CEO di giganti della tecnologia. Lo scopo di questo incontro era discutere di come le aziende stanno garantendo la sicurezza informatica dopo le recenti ondate di attacchi ransomware e violazioni della sicurezza.
Secondo i tweet sui social media di vari ricercatori sulla sicurezza, sono riemersi diversi siti Web, incluso Happy Blog, direttamente collegato a REvil.
Secondo un tweet del redattore capo di bleeping computer, l'ultima voce proveniva da una vittima attaccata l' 8 luglio.
Secondo l'esperto di ransomware Allan Liska, il ritorno di REvil era inevitabile, ma questa volta con un nome diverso e una nuova variante di ransomware.
Le cose si sono decisamente scottate per loro per un po', quindi hanno dovuto lasciare che le forze dell'ordine si calmassero. Il problema (per loro) è che, se si tratta davvero dello stesso gruppo, che utilizza la stessa infrastruttura, non si sono davvero presi le distanze dalle forze dell'ordine o dai ricercatori, il che li rimetterà letteralmente nel mirino di ogni legge gruppo di forze dell'ordine nel mondo (tranne quello russo). Aggiungerò anche che ho controllato tutti i soliti repository di codice, come VirusTotal e Malware Bazaar, e non ho ancora visto nessun nuovo campione pubblicato. Quindi, se hanno lanciato nuovi attacchi ransomware, non ce ne sono stati molti.
In qualità di analista delle minacce di Emisoft, Brett Callow ha affermato che REvil ha attaccato almeno 360 organizzazioni con sede negli Stati Uniti quest'anno.
Diverse vittime di REvil si sono trovate in una situazione difficile, anche dopo che il gruppo è stato chiuso a luglio. Ad esempio, Mike Hamilton, ex CISO di Seattle e ora CISO della società di riparazione di ransomware Critical Insight, ha affermato che una società ha pagato un riscatto dopo l'attacco Kaseya e ha ricevuto le chiavi di decrittazione da REvil, ma ha scoperto che non funzionavano.
Alcuni dei nostri clienti se la sono cavata molto facilmente. Se avevi installato quell'agente su computer non importanti, li hai semplicemente ricostruiti e sei tornato in vita. Ma qualche giorno fa abbiamo ricevuto una richiesta di soccorso da un'azienda che è stata colpita duramente perché aveva un'azienda che gestiva molti dei suoi server con Kaseya VSA. Sono stati colpiti molti dei loro server e avevano molte informazioni su di loro, quindi hanno portato la loro compagnia di assicurazioni e hanno deciso di pagare il riscatto".
Secondo un rapporto pubblicato dalla società di sicurezza BlackFog, di tutti gli attacchi ransomware di agosto, REvil ha rappresentato oltre il 23% degli attacchi monitorati il mese scorso. Questo era più di qualsiasi altro gruppo monitorato nel rapporto.