Os portais da dark web, uma vez administrados pela gangue de ransomware REvil, voltaram online hoje, despertando preocupações de que a famosa gangue de ransomware em breve recomeçará seus ataques.
Durante o feriado de 4 de julho nos EUA, o grupo desativou sua infraestrutura da web após um ataque de ransomware em massa contra os servidores da Kaseya. Esses foram os mesmos incidentes que chamaram a atenção dos funcionários da Casa Branca.
No entanto, as autoridades dos EUA e da Rússia negaram qualquer envolvimento no misterioso desaparecimento dessa gangue de ransomware de língua russa.
Naquela época, parece que o grupo havia sido dissolvido e planejado para executar um novo ataque de ransomware contra vários investigadores e empresas de segurança dos EUA .
Logo após um aumento no aumento de ataques de ransomware nos EUA, Joe Biden (presidente dos EUA) tomou a iniciativa e organizou uma reunião de segurança cibernética com vários CEOs de gigantes da tecnologia. O objetivo desta reunião foi discutir como as empresas estão garantindo a segurança cibernética após as recentes ondas de ataques de ransomware e violações de segurança.
De acordo com os tweets de mídia social de vários pesquisadores de segurança, vários sites, incluindo o Happy Blog, diretamente conectados ao REvil, ressurgiram.
De acordo com um tweet do editor-chefe do bleeping computer, a entrada mais recente foi de uma vítima atacada em 8 de julho.
Segundo o especialista em ransomware Allan Liska, o retorno do REvil era inevitável, mas desta vez com um nome diferente e uma nova variante de ransomware.
As coisas definitivamente ficaram quentes para eles por um tempo, então eles precisavam deixar a polícia esfriar. O problema (para eles) é que, se este é realmente o mesmo grupo, usando a mesma infraestrutura, eles realmente não compraram nenhuma distância da aplicação da lei ou dos pesquisadores, o que os colocará de volta na mira de literalmente todas as leis grupo de fiscalização do mundo (exceto o da Rússia). Também acrescentarei que verifiquei todos os repositórios de código usuais, como VirusTotal e Malware Bazaar, e ainda não vi nenhum novo exemplo publicado. Portanto, se eles lançaram novos ataques de ransomware, não houve muitos deles.
Como analista de ameaças da Emisoft, Brett Callow disse que o REvil atacou pelo menos 360 organizações sediadas nos EUA este ano.
Várias vítimas do REvil se encontraram em uma situação difícil, mesmo depois que o grupo foi encerrado em julho. Por exemplo, Mike Hamilton, ex-CISO de Seattle e agora CISO da empresa de remediação de ransomware Critical Insight, disse que uma empresa pagou um resgate após o ataque da Kaseya e recebeu as chaves de descriptografia do REvil, mas descobriu que elas não funcionaram.
Alguns de nossos clientes saíram com muita facilidade. Se você tivesse esse agente instalado em computadores sem importância, você apenas os reconstruia e voltava à vida. Mas recebemos um pedido de socorro alguns dias atrás de uma empresa que foi duramente atingida porque tinha uma empresa gerenciando muitos de seus servidores com o Kaseya VSA. Eles tiveram muitos servidores atingidos e tinham muitas informações sobre eles, então trouxeram sua companhia de seguros e decidiram pagar o resgate".
De acordo com um relatório publicado pela empresa de segurança BlackFog, de todos os ataques de ransomware em agosto, o REvil foi responsável por mais de 23% dos ataques que rastrearam no mês passado. Isso foi mais do que qualquer outro grupo rastreado no relatório.