Pozorny powrót REvil ransomware konsorcjum w związku z reaktywacją swojej infrastruktury i witryną z przeciekami ciemnej sieci – znaną jako Happy Blog – podała w wątpliwość wcześniejsze doniesienia o śmierci załogi i może jeszcze zapowiadać ponowną kampanię ataków ransomware w nadchodzących miesiącach.
Syndykat został wyłączony w połowie lipca w tajemniczych okolicznościach, co skłoniło społeczność do spekulacji, że władze rosyjskie wywarły presję na gang, by ograniczył swoją działalność po głośnym ataku na Kaseya, które spowodowały upadek wielu firm, likwidując ich dostawców usług zarządzanych.
Inni teoretyzowali, że doszło do kłótni w organizacji REvil lub że członkowie gangu po prostu postanowili wypłacić pieniądze i „przejść na emeryturę” REvil, aby skoncentrować się na nowych projektach. tak jak kiedyś.
Reaktywacja REvil’s Happy Blog została zauważona przez badaczy z całej społeczności zajmującej się bezpieczeństwem, w tym Emsisoft oraz Nagrana przyszłość. Wiele raportów mówi o portalu płatności grupy jest również ponownie dostępny, oraz Syczący komputer potwierdził, że REvil atakuje obecnie się odbywają.
Exabeam Główny strateg ds. bezpieczeństwa Steve Moore powiedział, że ponieważ reaktywacja części infrastruktury REvil wydaje się być znakiem, że operacja wróciła do działania, jest tylko kwestią czasu przed kolejnym poważnym atakiem.
„Zachęcam organizacje do myślenia o tym dwojako” – powiedział Baker. „Po pierwsze, bez wątpienia naruszono ich kolejny łańcuch dostaw oprogramowania. Technika rozpoczęła się w szpiegostwie, a teraz została zapożyczona do działalności przestępczej. Ta kampania jeszcze się nie zaczęła – ale już niedługo.
„Z drugiej strony obrońcy powinni bardziej skupiać się na nieodebranych włamaniach i słabych opcjach odzyskiwania, a mniej na oprogramowaniu ransomware. Ransomware jest produktem niezdolności do wykrycia i przerwania cyklu narażenia – kropka.”
Moore dodał: „Bezpośrednio REvil poświęcił czas na remont, przezbrojenie i trochę wakacji w lecie. Fakt, że ich witryny są ponownie online, oznacza, że są ponownie gotowe do działania i mają na uwadze cele”.
Talion dyrektor ds. bezpieczeństwa, Chris Sedgwick, dodał: „Grupy hakerów znikające, gdy sytuacja się nagrzewa, jest czymś, co często widzieliśmy w przeszłości, w przypadkach takich jak Emotet lub Anonymous. Kiedy grupy rzeczywiście znikają, zazwyczaj trzeba kupić sobie trochę czasu i odwrócić uwagę od organów ścigania, a rzadko oznacza to, że znikają na dobre.
„Zakładając, że jest to rzeczywiście ta sama grupa zagrożeń, która obsługuje infrastrukturę, spodziewamy się, że w niedalekiej przyszłości pojawi się nowy wariant oprogramowania ransomware z tej grupy, ale ze znacznie staranniej dobranymi ofiarami, aby nie zwracać na nie uwagi mediów i rządu. na ile to możliwe.”
Oprócz Kaseyi, gang REvil – znany również jako Sodinokibi – i jego podmioty stowarzyszone stoją za jednymi z najbardziej wpływowych ataków ransomware w ciągu ostatnich dwóch lat, a ofiarami byli m.in. Amerykańska firma dostarczająca mięso JBS, Tajwański producent komputerów PC Acer, nowojorska kancelaria prawnicza, której klientami są celebryci, w tym piosenkarze Nicki Minaj i Mariah Carey, oraz dostawca usług wymiany walut Travelex, który ostatecznie zbankrutował jako pośredni wynik wczesnego ataku REvil pod koniec 2019 roku.
Uważa się, że dzięki tym wysiłkom osoby stojące za REvil zdobyły co najmniej 100 mln USD, a być może nawet więcej.
Nawet jeśli istnieje inne wyjaśnienie pozornego ponownego pojawienia się REvil, zespoły ds. Bezpieczeństwa powinny wykorzystać ten czas na podsumowanie swojej postawy w zakresie cyberbezpieczeństwa i planów reagowania na oprogramowanie ransomware. Dostępnych jest więcej wskazówek dotyczących skutecznej ochrony przed oprogramowaniem ransomware z brytyjskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego.