.jpg){kind=small}
Revil, den notoriske utpressingsvirus-gruppa, som den siste tiden fått mye oppmerksomhet etter en rekke omfattende cyberangrep, inkludert verdikjedeangrepet mot Kaseya som rammet mer enn tusen andre bedrifter, har gjort et nytt forsvinningsnummer.
På et forum for cyber-kriminelle hevder sentrale personer at de nå legger ned sjappa, etter å ha mistet kontroll over kritisk infrastruktur. Det melder ZDnet.
Forsvant også i juli
Dette skjer bare en måned etter at Revil gjenoppsto etter å ha forduftet på mystisk vis.
_logo.svg.png){kind=logo}
I juli var den antatt russiske trusselaktøren som sunket i jorda. Serverinfrastrukturen og nettstedene som er knyttet til gruppa forsvant fra både det åpne og mørke nettet. Igjen satt ofre uten noe sted å betale løsepenger, eller mulighet til å få dekryptert filene sine.
Forsvinningsnummeret var imidlertid kortvarig, og i september dukket Revil opp igjen etter to måneder offline. En ny talsperson for gruppa, hevdet at de hadde gjenopprettet virksomheten fra backup.
Nå er gruppa nede igjen etter at Tor-sidene som brukes til å hente inn betaling, og bloggen som brukes til datalekkasje skal ha blitt kapret.
Det sier sikkerhetsekspert Dmitry Smilyanets fra Recorded Future. I en rekke innlegg på Twitter deler han meldinger fra et kriminelt forum der brukeren 0_neday, som skal være en sentral spiller i Revil, har vært aktiv de siste dagene.
? REvil #ransomware developers share updates on the @xss_is forum pic.twitter.com/4WyAEqDFQW
— ?????? ?????????? (@ddd1ms) October 17, 2021
Kriminell hackergruppe forduftet på mystisk vis
Uklart hvem som står bak
FBI skal ifølge Washington Post ha hatt planer om å ta ned gruppa en gang for alle etter å ha fått tilgang til gruppas krypteringsnøkler. Denne aksjonen skjedde aldri, fordi gruppa gikk under jorda i juli.
Det er også mulig at et tidligere gruppemedlem, kalt «Unknown» som lenge har fungert som en slags talsperson for gruppa, står bak kapringen.
Han skal ha forsvunnet i juli og etterlatt resten av gruppa i usikkerhet.
– Siden vi ikke visste hvorfor han var borte, fortsatte vi arbeidet. Vi trodde han var død, skal 0_neday har skrevet i et av foruminnleggene Smilyanets viser til.
I helgen skal Tor-siden og bloggen ha blitt kapret, og Revil mener det er Unknown sine nøkler som har blitt brukt. For å kjøre en skjult tjeneste på Tor, trenger du et nøkkelpar bestående av en åpen og en privat nøkkel. Den private nøkkelen gir man bare til de man stoler på, ettersom den gjør det mulig å ta over tjenesten og kjøre den på egen server. Det at tjenestene på Tor har blitt kapret, kan tyde på at det er tidligere svært nære venner av Revil som står bak.
0_neday skal ha meldt at serveren var kompromittert, og at personene bak angrepet lette etter ham.
– Lykke til alle sammen. Jeg stikker, skrev han på forumet.
Borte for godt?
Revil skal ha strevd med å skaffe kunder etter sin to måneders forsvinning, og skal ha dumpet prisene i et forsøk på å lokke til seg nye kunder.
[#REvil's All-In] ♣️
Formerly Infamous #ransomware group launches a final desperation move to get back into business
REvil attempts to dump prices with an unheard 90/10% share rate (90% go to affiliates)
To compare - Gandcrab had 60/40
Our findings with @intel_anastasia ❗️
⏬ pic.twitter.com/obSJCAFhmR
— Yelisey Boguslavskiy (@y_advintel) October 8, 2021
Det kan tyde på at gruppa allerede var svak, og at Revil som vi kjenner dem er borte for godt.
Kompetansen og ressursene er likevel ikke borte, og vil nok dukke opp i andre sammenhenger.
Revil forsvant brått i juli. Nå skal hackerbanden være tilbake
