Zloglasni ransomware kartel REvil misteriozno nestao sa interneta

Vesti, 15.07.2021, 09:30 AM

Zloglasni ransomware kartel REvil, koji stoji iza nekih od najvećih sajber napada, misteriozno je nestao sa interneta u utorak ujutro. Slučajnost ili ne, ovo se dogodilo neposredno pre sastanka ruskih i američkih zvaničnika na kome je trebalo da se razgovara o o rastućoj pretnji ransomware napada širom sveta.

Veb sajtovima bande REvil, uključujući i onaj na kome objavljuju ukradene podatke, ne može se pristupiti, a svi sajtovi grupe prikazuju poruku o grešci “Onionsite not found”.

Tor infrastruktura grupe na mračnom vebu sastoji se od sajta Happy Blog na kome grupa objavljuje ukradene podatke i 22 veb sajta za hosting podataka. Ništa od navedenog ne radi od utorka, od 8 sati ujutro, po moskovskom vremenu, a predstavnik grupe, Unknown, od 8. jula nije objavljivao ništa na hakerskim forumima.

REvil je jedna od najuspešnijih ransomware-as-a-a-service (RaaS) grupa koja se prvi put pojavila u aprilu 2019. Njihov ransomware je evoluirao od GandCrab ransomwarea, koji se u sajber podzemlju pojavio početkom 2018. godine.

Otkako se pojavila 2019. godine, grupa REvil, poznata i kao Sodinokibi, izvela je više od 360 napada na javni i privatni sektor a odgovorna je i za 42% svih skorašnjih ransomware napada. Nedavno su postali planetarno popularni zbog dva velika sajber napada koje su izveli.

Poslednji u nizu napada ove grupe je napad na kompaniju Kaseya, za koji je grupa preuzela odgovornost i zatražila otkupninu od 70 miliona dolara nudeći zauzvrat žrtvama vraćanje blokiranih sistema u funkciju pomoću univerzalnog ključa za dešifrovanje koji bi navodno dešifrovao sve podatke žrtava čiji je broj, prema poslednjim procenama, prešao 1500.

Krajem maja, REvil je izveo napad na najvećeg svetskog prerađivača mesa, kompaniju JBS, koja je na kraju platila sajber kriminalcima otkupninu od 11 miliona dolara.

Hakeri su se osećali toliko moćno da su poručili američkim vlastima da ih se ne plaše i da će nastaviti sa napadima na ciljeve u Sjedinjenim Državama. Još nije jasno da li je ruska vlada vršila pritisak na njih da zaustave napade ili žele da izađu iz sajber kriminala jer su zaradili dovoljno novca.

Nestanak grupe sa interneta poklopio se sa telefonskim pozivom koji je američki predsednik Bajden uputio ruskom predsedniku Putinu krajem prošle nedelje, kako bi izvršio pritisak na ruskog kolegu da preduzme mere protiv ransomware grupa iz Rusije.

Predstavnik grupe koja stoji iza ransomwarea LockBit objavio je na poznatom ruskom hakerskom forumu XSS, da je za prekid rada infrastrukture grupe REvil odgovorna vlada, i da je REvil zabranjen na ovom forumu.

Inače, nije retkost da ransomware grupe nestanu nakon incidenata koji izazovu veliku pažnju. Nakon što je banda DarkSide u maju napala Colonial Pipeline, kompaniju koja upravlja najvećim naftovodom u SAD, predstavnik grupe je na hakerskom forumu Exploit objavio da se povlače iz posla i da ukidaju svoj RaaS program. On je rekao da je njihove servere zaplenila nepoznata policijska agencija, ali je posle toga ostala sumnja da li se grupa zaista povukla ili će se pojaviti ponovo pod novim imenom.

Neobjašnjivi nestanak REvila, može biti planirano povlačenje ili manevar, da se ostavi utisak da grupa prestaje sa radom, da bi se pojavila pod novim imenom koje će privlačiti manje pažnje.

Ako se ispostavi da je ovo konačni kraj grupe, to će njihove žrtve ostaviti na cedilu, jer neće imati sa kim da pregovaraju o otkupnini, zbog čega će ostati bez ključeva za dešifrovanje koji bi im omogućili da vrate kontrolu nad svojim sistemima.