Hakovani serveri zloglasne ransomware bande REvil, grupa ponovo najavila povlačenje

Vesti, 19.10.2021, 10:00 AM

Izgleda da je REvil, zloglasna ransomware banda koja stoji iza niza napada poslednjih godina, ponovo nestala sa radara, nešto više od mesec dana od iznenadnog povratka nakon dvomesečne pauze.

Stručnjak za sajber bezbednost Dmitrij Smiljanec iz Recorded Futurea prvi je primetio da se nešto dešava sa grupom kada je član hakerskog foruma XSS “0_neday” povezan sa grupom REvil objavio na forumu da je neko preuzeo kontrolu nad Tor portalom za plaćanje grupe i veb sajtom na kome REvil objavljuje podatke ukradene od žrtava koje odbiju da plate.

U porukama koje je na Twitteru objavio Smiljanec, “0_neday” objašnjava da su on i “Unknown” - vodeći predstavnik grupe - bili jedina dva člana bande koji su imali ključeve domena REvila. “Unknown” je nestao u julu. Grupa je nastavila sa radom u septembru, ali ovog vikenda “0_neday” je napisao da je domenu REvila pristupljeno pomoću ključeva “Unknowna”.

Nije jasno ko stoji iza hakovanja REvilovih servera, mada ne bi bilo neobično da je policija igrala neku ulogu u tome.

REvil se prvi put povukao iz posla 13. jula nakon razornog napada na kompaniju Kaseya koji je zarazio stotine kompanija širom sveta i naneo ogromnu štetu. Grupa je jedna od najuspešnijih ransomware grupa ikada, odgovorna za napade na stotine kompanija i organizacija u poslednjih nekoliko godina.

U septembru, grupa se vratila, nastavljajući sa napadima.

Povlačenje 13. jula se navodno dogodilo zato što je “Unknown” ukrao novac grupe i ugasio njihove servere, što je otežavalo onima koji su preostali da isplate saradnike.

FBI je priznao da ima ključeve za dešifrovanje koji su mogli pomoći da skoro 1.500 žrtava napada na kompaniju Kaseya vrati svoje fajlove, ali je agencija odlučila da ne da ključeve jer je pripremala operaciju protiv REvilove infrastrukture. Grupa je “zatvorila radnju” pre nego što je FBI krenuo u akciju a biro je žestoko kritikovan od strane pogođenih organizacija i zakonodavaca zato što su oklevali da daju žrtvama ključeve za dešifrovanje.

Bitdefender je kasnije objavio besplatni ključ za dešifrovanje za sve one koji su pogođeni napadom na kompaniju Kaseya.

Mnogi se pitaju da li je drama unutar grupe stvarna. Ali Alan Liska, stručnjak za ransomware, rekao je za ZDNet, da je to moguće, jer ransomware donosi mnogo novca, a “sa mnogo novca doći će i drama”.

Ali iako su članovi REvila možda odustali od ove grupe, Liska kaže da nema sumnje da će svi koji su bili deo organizacije REvil nastaviti da se bave iznudom.

“Bilo da se radi o stvaranju novog ransomwarea ili pridruživanju drugoj ransomware grupi, teško je odreći se novca koji se može zaraditi od ransomwarea”, rekao je on.

Dodatni problem su optužbe da REvil nije platio onima koji su bili uključeni u njegov partnerski program.

Kada je “0_neday” upitan o tome ko će raditi sa REvilom nakon ovih problema, on je rekao da će “sudeći po svemu, raditi sam”.

Ipak, neki su skeptučni prema objavama na hakerskom forumu s obzirom da sajber kriminalci znaju da ih policija, novinari i istraživači prate na forumima, pa oni iste koriste za davanje izjava, i govore samo ono što žele da ljudi znaju.