Mörka webbportaler som en gång administrerades av REvil ransomware-gänget har kommit tillbaka online idag, vilket väckte oro för att det hyllade ransomware-gänget snart kommer att återuppta sina attacker.
Under den amerikanska helgdagen den 4 juli tog gruppen ner sin webbinfrastruktur efter en massutsättningsattack mot Kaseyas servrar. Det var samma incidenter som väckte Vita husets tjänstemäns uppmärksamhet.
Både amerikanska och ryska myndigheter har dock förnekat all inblandning i det mystiska försvinnandet av detta rysktalande ransomware-gäng.
Vid den tiden såg det ut som om gruppen hade upplösts och planerat att utföra en ny ransomware-attack mot olika amerikanska brottsbekämpande utredare och säkerhetsföretag.
Strax efter en ökning av ökningen av ransomware-attacker över hela USA, tog Joe Biden (USA:s president) initiativ och var värd för ett cybersäkerhetsmöte med olika teknikjättens VD :ar. Syftet med detta möte var att diskutera hur företag säkerställer cybersäkerhet efter de senaste vågorna av ransomware-attacker och säkerhetsintrång.
Enligt tweets på sociala medier från olika säkerhetsforskare hade flera webbplatser, inklusive Happy Blog, direkt kopplad till REvil, dykt upp igen.
Enligt en tweet från chefredaktören för bleeping computer var det senaste inlägget från ett offer som attackerades den 8 juli.
Enligt ransomware-experten Allan Liska var återkomsten av REvil oundviklig, men den här gången med ett annat namn och en ny ransomware-variant.
Det blev definitivt varmt för dem ett tag, så de behövde låta brottsbekämpningen svalna. Problemet (för dem) är att om det här verkligen är samma grupp, använder de samma infrastruktur som de egentligen inte köpte sig något avstånd från brottsbekämpande myndigheter eller forskare, vilket kommer att sätta dem tillbaka i hårkorset för bokstavligen varje lag. verkställighetsgrupp i världen (förutom Rysslands). Jag ska också tillägga att jag har kontrollerat alla vanliga kodförråd, som VirusTotal och Malware Bazaar, och jag har inte sett några nya exempel publicerade än. Så om de har lanserat några nya ransomware-attacker har det inte varit många av dem.
Som Emisoft-hotanalytiker sa Brett Callow att REvil attackerade minst 360 USA-baserade organisationer i år.
Flera REvils offer befann sig i en tuff plats, även efter att gruppen stängdes av i juli. Till exempel, Mike Hamilton, tidigare CISO i Seattle och nu CISO för ransomware-saneringsföretaget Critical Insight, sa att ett företag betalade en lösensumma efter Kaseya-attacken och fick dekrypteringsnycklarna från REvil men upptäckte att de inte fungerade.
Några av våra kunder kom loss riktigt lätt. Om du hade den agenten installerad på oviktiga datorer, byggde du bara om dem och kom tillbaka till livet. Men vi fick ett nödanrop för några dagar sedan från ett företag som drabbades hårt eftersom de hade ett företag som hanterade många av deras servrar med Kaseya VSA. De fick många av sina servrar träffade och hade mycket information på sig, så de tog in sitt försäkringsbolag och bestämde sig för att betala lösensumman".
Enligt en rapport publicerad av säkerhetsföretaget BlackFog stod REvil av alla ransomware-attacker i augusti för mer än 23% av attackerna de spårade förra månaden. Det var mer än någon annan grupp som spårades i rapporten.