La famigerata banda di ransomware di lingua russa, REvil, è misteriosamente scomparsa da Internet dopo aver eseguito attacchi di alto profilo a centinaia di aziende in tutto il mondo.
Non è ancora chiaro il motivo per cui il gruppo è andato offline, insieme al suo blog e ai siti Web di pagamento. Ma la sua improvvisa scomparsa pochi giorni dopo la dichiarazione del presidente Biden solleva dubbi sul fatto che le autorità statunitensi abbiano qualcosa a che fare con questo.
Chi è REvil?
REvil (Ransomware Evil o altrimenti noto come Sobinokibi) è una gang di lingua russa. Hanno preso di mira migliaia di aziende di alto profilo in tutto il mondo. Minaccerebbero di rilasciare le informazioni sul loro Happy Blog a meno che gli obiettivi non avessero pagato il riscatto.
Nessuno è stato in grado di individuare la loro posizione, ma si ritiene che abbia sede in Russia perché la banda non prende di mira le compagnie russe o le regioni dell'ex blocco sovietico.
In passato, le autorità britanniche e statunitensi hanno anche accusato reti private virtuali (VPN) per prendere di mira le organizzazioni di tutto il mondo e nascondere le loro impronte digitali. Tuttavia, l'ambasciata russa negli Stati Uniti ha negato le accuse.
Bersagli REvil
Nel maggio 2020, REvil ha rubato quasi un terabyte di informazioni riservate dallo studio legale Grubman Shire Meiselas & Sacks, sostenendo di avere "bucato sporco" sul presidente Trump. La banda ha minacciato di rilasciare dati online se il ransomware di 42 milioni di dollari non fosse stato pagato. La banda ha dichiarato:
“La prossima persona che pubblicheremo sarà Donald Trump. C'è una corsa elettorale in corso e abbiamo trovato un sacco di panni sporchi in tempo. Signor Trump, se vuole rimanere presidente, colpisca i ragazzi con un bastone affilato, altrimenti potrebbe dimenticare questa ambizione per sempre".
Nel marzo 2021, REvil ha attaccato la Harris Federation di conseguenza, il sistema IT dell'organizzazione è stato chiuso per settimane, colpendo migliaia di utenti.
Nell'aprile 2021, REvil ha preso di mira Apple e ha rubato piani per i prossimi prodotti Apple, inclusi Apple Watch, laptop e altro. La banda ha chiesto 50 milioni di dollari per informazioni. Dopo l'attacco, hanno pubblicato sul loro Happy Blog dicendo:
“Per non aspettare l'imminente presentazione di Apple, oggi noi, il gruppo REvil, forniremo i dati sulle prossime uscite dell'azienda tanto amata da molti. Tim Cook può dire grazie Quanta.
Nel maggio 2021, JBS SA, un'azienda brasiliana di lavorazione della carne, è stata attaccata, disabilitando i suoi macelli. Subito dopo pochi giorni dall'attacco, la Casa Bianca ha annunciato che dietro l'attacco potrebbe esserci il REvil. JBS ha pagato un riscatto di 11 milioni di dollari a REvil in Bitcoin.
L'ultimo obiettivo di REvil era Kaseya, un fornitore di tecnologia statunitense. Il 2 luglio 2021, REvil ha preso di mira i sistemi Kaseya e ha chiesto un riscatto di 70 milioni di dollari per ripristinare i propri dati. A seguito dell'attacco, la svedese Coop, una catena di negozi di alimentari, ha dovuto chiudere quasi 800 negozi per diversi giorni.
Questo è stato uno dei più grandi attacchi ransomware della storia. L'attacco ha colpito migliaia di piccole aziende in tutto il mondo. Dopo la Cybersecurity and Infrastructure Security Agency degli Stati Uniti, a tutti gli utenti è stato chiesto di chiudere immediatamente i server VSA.
L'attacco era perfetto, venerdì, prima della lunga vacanza negli Stati Uniti, per diffonderlo il più rapidamente possibile senza essere scoperti.
Biden agisce contro REvil
Dopo l'attacco, il presidente Joe Biden ha deciso di agire e ha ordinato alle agenzie di intelligence statunitensi di indagare sul gruppo dietro l'attacco che ha colpito centinaia di aziende americane.
Il 10 luglio, Biden ha chiamato il presidente Vladimir Putin e ha detto che doveva "agire". Biden ha inoltre detto:
"Gli ho chiarito che gli Stati Uniti si aspettano quando un'operazione di ransomware sta arrivando dal suo suolo anche se non è sponsorizzata dallo stato, ci aspettiamo che agiscano se diamo loro informazioni sufficienti per agire su chi è."
Quando gli è stato chiesto se ci sarebbero state delle conseguenze, Biden ha sorriso e ha detto: "Sì". Ha anche affermato che gli Stati Uniti prenderanno provvedimenti e abbatteranno i server del gruppo REvil se Mosca non agirà.
La scomparsa della banda di REvil
I siti Web, i blog e "tutta la loro infrastruttura" di REvil sono diventati oscuri, ha affermato Allen Liska, un analista dell'intelligence di Recorded Future. Liska ha anche affermato che il portavoce pubblico di REvil chiamato anche "Unknown", " non è stato attivo sulle bacheche da giovedì scorso" e il sito non risponde da un po' di tempo.
Non è ancora chiaro perché il gruppo sia improvvisamente scomparso da Internet o se la scomparsa sia solo temporanea o permanente.
I recenti cambiamenti hanno suscitato speculazioni sul fatto che la mossa sia stata la decisione di REvil di cessare operazioni come l'ex banda russa di criminali informatici, DarkSide, o fosse il risultato di un'azione guidata dal governo degli Stati Uniti.
John Hultquist, di Mandiant Threat Intelligence, ha dichiarato:
"La situazione è ancora in corso, ma le prove suggeriscono che REvil ha subito una rimozione pianificata e simultanea della propria infrastruttura, da parte degli operatori stessi o tramite l'industria o l'azione delle forze dell'ordine… Se si trattasse di un'operazione di interruzione di qualche tipo, i dettagli completi potrebbero non arrivare mai alla luce".
Questa è ovviamente una buona cosa, ma non per tutte le aziende target, come sottolinea Brett Callow di Emsisoft :
“Se le forze dell'ordine sono riuscite a interrompere le operazioni della banda, sarebbe ovviamente una buona cosa, ma potrebbe creare problemi a qualsiasi azienda i cui dati siano attualmente crittografati. Non avrebbero la possibilità di pagare REvil per la chiave necessaria per decrittografare i propri dati".
Liska ha anche notato che la proprietà del sito di REvil non è stata ancora modificata, rendendo così meno probabile la possibilità di un sequestro del dominio. Ha anche detto: " questo potrebbe suggerire che si tratta di rimozioni autodirette (troppo presto per dirlo)."
Finora, i portavoce del Consiglio di sicurezza nazionale della Casa Bianca e del Cyber Command non hanno ancora commentato l'ultima scomparsa di REvil. Anche se dietro la scomparsa di REvil c'era il governo degli Stati Uniti, ci sono altri gruppi di ransomware che sono ancora attivi, sollevando così problemi di sicurezza in tutto il mondo.