REvil-Gruppe: naar verluidt weer offline vanwege compromis door FBI & Co.


De afpersingsgroep REvil werd gehackt door wetshandhavers als onderdeel van een transnationale actie en ging daarom weer offline. Dat meldt persbureau Reuters, wat waarschijnlijk verklaart waarom de groep deze week weer van het toneel verdween. Volgens deze informatie is de FBI er samen met andere Amerikaanse veiligheidsdiensten en organisaties uit andere landen in geslaagd om back-ups van de REvil-groep te compromitteren en zo een cybercriminele tactiek tegen hen in te zetten. Een agressievere aanpak door de statelijke actoren was dan ook verantwoordelijk voor het succes.

Reuters beroept zich op het rapport op verklaringen van drie cyberbeveiligingsexperts, van wie sommigen werden genoemd, waaronder die van VMWare en Group-IB, evenals een niet nader genoemde ex-functionaris. Ze verklaarden dat een bevriende staat erin was geslaagd de infrastructuur van REvil te hacken tijdens de reactie op de Kaseya-aanval. In ieder geval een deel van de servers van de aanvallers werd onder controle gebracht en daarna werden waarschijnlijk ook de back-ups geïnfecteerd. REvil ging plotseling offline, maar heb terug gerapporteerd met behulp van de back-upszonder te beseffen dat het wetshandhavingsinstanties weer toegang gaf. Deze aanpak was de favoriete tactiek van cybercriminelen, legt Oleg Skulkin van Group-IB uit. Nu is de groep weer uit het netwerk geduwd.

De succesvolle aanval op een van de gevaarlijkste ransomware-groepen was ook inbegrepen Verandering van strategie door de Amerikaanse regering vooraf. In het begin van de zomer besloot het Amerikaanse ministerie van Justitie dat onderzoeken naar gevallen van dergelijke afpersing-trojans als relevant voor de nationale veiligheid moeten worden beschouwd. Sindsdien worden ze behandeld met de prioriteit die anders is voorbehouden aan terroristische onderzoeken. Dat was de wettelijke basis om geheime diensten en het Amerikaanse leger erbij te betrekken. “Vroeger kon je deze forums niet hacken en wilde het leger er niets mee te maken hebben, daarna werden de fluwelen handschoenen uitgetrokken”, legt Tom Kellermann van VMWare uit.

De escalatie begon met de verraderlijke aanval op Kaseya begin juli. Met behulp van een kwetsbaarheid in de software van de IT-serviceprovider viel de groep in één klap honderden Kaseya-klanten aan. Voor een “universele decoderingstool” om de gegevens op te slaan, vroegen ze meteen 70 miljoen dollar in Bitcoin. Later werd bekend dat de FBI toegang had tot de servers van cybercriminelen uit Rusland in het bezit was gekomen van de sleuteldat zou de slachtoffers enorm hebben geholpen. Ter voorbereiding op een grote aanval op REvil was de sleutel echter achtergehouden. De grote tegenslag kwam er nooit omdat REvil plotseling van het toneel verdween. De sleutel werd een paar dagen later – drie weken na de arrestatie – aan Kaseya overhandigd.


(mho)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: