Ransomware: de “REvil”-chantagewebsite ging plotseling weer online


De (on)activiteit van de bekende en uiterst succesvolle cybercrimebende “REvil” rond de gelijknamige ransomware bezorgt waarnemers momenteel hoofdpijn. Nadat zowel de Tor Onion-site “Happy Blog” met gelekte data van de REvil-slachtoffers en de bijbehorende betaalinfrastructuur van de afpersers vanaf half juli ineens niet meer toegankelijk waren, staat de blog sinds in ieder geval afgelopen dinsdag weer online.

Het beveiligingsteam van heise kon de juistheid van de bijbehorende mediaberichten verifiëren in het kader van de toegangen op woensdag en donderdag. Huidige inhoud in de vorm van nieuwe berichten of lekken is blijkbaar niet aan de blog toegevoegd: Het laatste bericht met gevoelige gegevens komt blijkbaar van begin juli en werd gepubliceerd voordat de REvil-bende ondergronds ging. De afzonderlijke betaal- en decoderingswebsite is nog steeds offline.

Van de Terugtrekking van de REvil-groep vond plaats nadat begin juli bekend werd dat de supply chain-aanval op klanten van het Amerikaanse bedrijf Kaseya bekend werd. Om honderden Kaseya-klanten in één klap aan te vallen, maakte de in Rusland gevestigde bende gebruik van een kwetsbaarheid in de software van de IT-serviceprovider om klantgegevens te versleutelen. Voor een “universele decoderingstool” om de gegevens op te slaan, vroegen ze vervolgens 70 miljoen dollar in Bitcoin; later brachten ze hun claim terug tot $ 50 miljoen.

Eind juli, bijna drie weken later, had Kaseya aangekondigd door een niet nader genoemde derde partij een hoofdsleutel ontvangen waarmee de gegevens van de slachtoffers konden worden hersteld. Moeilijkheden bij de daaropvolgende decodering zouden zich niet hebben voorgedaan.

Een verband tussen het Kaseya-incident en de “verdwijning” van de bende lijkt waarschijnlijk gezien de zware media en politieke aandacht die de aanval heeft gegenereerd. Kort na het incident drong de Amerikaanse president Biden er bij het Russische staatshoofd Poetin op aan strenger op te treden tegen cybercriminaliteit en in het bijzonder tegen REvil. Het zou dus goed kunnen dat de bende zich (tijdelijk) terugtrok vanwege de toegenomen druk van de politie – of dat hun infrastructuur simpelweg werd overgenomen of lamgelegd.

Over de achtergronden van de recente beschikbaarheid van de “Happy Blog” kan vooralsnog alleen worden gespeculeerd. Mocht de REvil-bende zich hebben gemeld na een tijdelijke (luxe) vakantie, dan zou het slechts een kwestie van tijd moeten zijn voordat ook de betalingsinfrastructuur weer beschikbaar is en de blog vol staat met nieuwe “loot” voor chantagedoeleinden.

Het bendelid “Unkown”, dat in het verleden praktisch het pers- en public relations-werk voor REvil overnam, lijkt, tot nu toe stom, in de strandbar te blijven. Maar een veel onaangenamer verblijfplaats is ook denkbaar, op voorwaarde dat de opsporingsautoriteiten een berekende zet hebben gedaan achter de hernieuwde activering van de server. Een andere optie is gewoon een technische fout.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: