REvil: Ransomware-bende weer actief in een nieuwe line-up


Half juli van dit jaar verdwenen de criminelen rond de ransomware “REvil”, ook wel Sodinokibi genoemd, van het toneel. Toen hun zogenaamde “Happy Blog” met gelekte gegevens van afpersingsslachtoffers vorige week verrassend weer online ging, had dit geleid tot speculaties over een bewuste zet van de betrokken wetshandhavers.

Inmiddels is duidelijk geworden dat een deel van de REvil-serverinfrastructuur daadwerkelijk is gecompromitteerd door een onbekende partij – en dat een lid van de ransomwarebende onder onverklaarbare omstandigheden is verdwenen. Dit weerhoudt de rest van de bende er echter niet van om hun zoektocht te hervatten met nieuwe malwarevarianten en datalekken in de “Happy Blog”.

In plaats van het lid “Onbekend”, dat anders als spreekbuis van de REvil-bende op fora en aan de pers verscheen, schreef een ander lid eind vorige week nieuwe berichten in een ondergronds forum onder het eenvoudige pseudoniem REvil. Er zijn screenshots van het gesprek gemaakt uitgegeven door o.a. Bleeping Computer. In het Russisch legt de auteur uit dat “Onbekend” (waarschijnlijk in juli van dit jaar, wanneer precies niet wordt vermeld) onder onverklaarbare omstandigheden is verdwenen.

Na lang tevergeefs te hebben gewacht, geloofden de ontwikkelaars van de kwaadaardige code REvil eindelijk dat Unknown was gearresteerd. Bovendien liet haar host haar weten dat de Clearnet-server van de bende, waarop de REvil-betalingsinfrastructuur draaide, was “gecompromitteerd” – door wie, onthult het artikel niet. In ieder geval heeft de hoster de inhoud onmiddellijk verwijderd. Als gevolg hiervan zouden de ontwikkelaars van de kwaadaardige code REvil na een back-up tijdelijk de rest van de darknet-serverinfrastructuur hebben uitgeschakeld.

De auteur van de berichten legt ook uit hoe de Amerikaans bedrijf Kaseya nam de REvil-hoofdsleutel in bezit kwam. Het bedrijf heeft een vertaling van zijn uitleg Flashpoint in een blogpost vrijgelaten. “Ons coderingsproces stelt ons in staat om ofwel een universele decoderingssleutel of individuele sleutels voor elk systeem te genereren”, zegt het. Tijdens het genereren van een groot aantal sleutels, klikte een van de ontwikkelaars zichzelf gewoon af en genereerde een universele sleutel, die hij vervolgens per ongeluk samen met enkele individuele sleutels stuurde. “Zo schijten we onszelf”, besluit Flashpoints vertaling.

Uiteindelijk zou de comeback van REvil een uitgekiende strategie kunnen zijn die door onderzoekers wordt gebruikt om het vertrouwen van ransomware-filialen en andere slechteriken te winnen. Anders zal de sereniteit waarmee de REvil-bende nu terugkeert naar de dagelijkse gang van zaken verrassend zijn: de VirusTotal malware-inspectiedienst heeft al een nieuwe, REvil / Sodinokibi-variant samengesteld op 4 september verscheen. Daarnaast is er een nieuw item met bedrijfsgegevens toegevoegd aan de “Happy Blog”.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: