Το γνωστό ransomware group REvil σταμάτησε για δεύτερη φορά τη λειτουργία του, πιθανότατα οριστικά. Κυβερνοεγκληματίες που ισχυρίζονται ότι είναι μέρος της ομάδας ισχυρίστηκαν ότι η συμμορία κλείνει αφού έχει χάσει τον έλεγχο της υποδομής και έχει εσωτερικές διαφωνίες.
Ο ειδικός ασφάλειας , Dmitry Smilyanets, αντάλλαξε πολλά μηνύματα στο Twitter από τον ‘0_neday’ — έναν γνωστό χειριστή REvil — συζητώντας τι συνέβη στο φόρουμ κυβερνοεγκληματιών XSS. Ο 0_neday ισχυρίστηκε ότι κάποιος πήρε τον έλεγχο της πύλης πληρωμών Tor και του ιστότοπου διαρροής δεδομένων του group.
Στα μηνύματα, ο 0_neday εξηγεί ότι αυτός και ο ‘Unknown’ — ηγετικός εκπρόσωπος της ομάδας — ήταν τα μόνα δύο μέλη της συμμορίας που είχαν τα universal κλειδιά του REvil. Ο ‘ Unknown ‘ εξαφανίστηκε τον Ιούλιο, αφήνοντας τα άλλα μέλη της ομάδας να υποθέσουν ότι πέθανε. Η ομάδα ξεκίνησε ξανά τη λειτουργία της τον Σεπτέμβριο, αλλά πριν λίγες μέρες, ο 0_neday έγραψε ότι έγινε πρόσβαση στο site του REvil χρησιμοποιώντας τα κλειδιά του ‘Unknown’.
Σε ένα άλλο μήνυμα, 0_neday είπε, «Ο διακομιστής ήταν σε κίνδυνο, και έψαχναν για μένα. Για την ακρίβεια, διέγραψαν τα hidden services στο αρχείο torrc και έβαλαν τα δικά τους έτσι ώστε να να πάω εκεί. Καλή τύχη σε όλους, φεύγω.’
Το REvil έκλεισε αρχικά τον Ιούλιο μετά την καταστροφική επίθεση στην Kaseya που μόλυνε εκατοντάδες οργανισμούς σε όλο τον κόσμο και προκάλεσε ανείπωτη ζημιά. Η ομάδα είναι μια από τις πιο παραγωγικές συμμορίες ransomware που λειτουργούν αυτή τη στιγμή, επιτίθενται σε εκατοντάδες ζωτικής σημασίας εταιρείες και οργανισμούς τα τελευταία χρόνια. Ωστόσο η ομάδα προσέλκυσε τεράστιο ενδιαφέρον από τις Αρχές επιβολής του νόμου μετά την επίθεση της 4ης Ιουλίου στην Kaseya και τελείωσε τη λειτουργία της στις 13 Ιουλίου. Μέχρι τον Σεπτέμβριο, η ομάδα επέστρεψε, συνεχίζοντας να επιτίθεται σε δεκάδες εταιρείες τις τελευταίες εβδομάδες.
Σύμφωνα με το The Record, το κλείσιμο της 13ης Ιουλίου συνέβη επειδή το ‘Unknown’ φέρεται να έκλεψε τα χρήματα του γκρουπ και έκλεισε τους διακομιστές τους, καθιστώντας δύσκολο για όσους απομένουν να πληρώσουν τους συνεργάτες τους.
Ο Smilyanets είπε στο πρακτορείο ειδήσεων ότι ήλπιζε ότι η ομάδα είχε κλείσει λόγω των ενεργειών επιβολής του νόμου από αξιωματούχους των ΗΠΑ. Το FBI και άλλες υπηρεσίες των ΗΠΑ αντιμετώπισαν σημαντικές αντιδράσεις τις τελευταίες εβδομάδες λόγω των ενεργειών τους κατά τη διάρκεια της επίθεσης του REvil στην Kaseya.
Το FBI παραδέχτηκε ότι διέθετε κλειδιά αποκρυπτογράφησης που θα μπορούσαν να βοηθήσουν τα σχεδόν 1.500 θύματα ransomware που επλήγησαν από την επίθεση Kaseya, αλλά αποφάσισε να μην την κάνει επειδή ετοίμαζαν μια επιχείρηση για να διαταράξουν την υποδομή του REvil. Η ομάδα έκλεισε πριν προλάβει να ολοκληρωθεί η επιχείρηση και το FBI έχει επικριθεί σκληρά από τις επηρεαζόμενες οργανώσεις και τους νομοθέτες ότι περίμεναν να μοιράσουν τα κλειδιά αποκρυπτογράφησης.
Το Bitdefender κυκλοφόρησε αργότερα έναν δωρεάν decryptor για όλους τους οργανισμούς που επηρεάστηκαν από την επίθεση Kaseya.
Οι απόψεις για την κατάσταση ήταν ανάμεικτες μεταξύ των ειδικών, με ορισμένους να προειδοποιούν τους ανθρώπους να μην πιστεύουν τα λόγια των εγκληματιών. Άλλοι είπαν ότι η κατάσταση είχε νόημα επειδή η REvil αντιμετώπιζε κριτική από τoυς δικούς της για τις πράξεις τους.
Ο Allan Liska, ειδικός ransomware με το Recorded Future, είπε στο ZDNet ότι υπήρχαν δύο θεωρίες στο μυαλό του.
«Ο Unknown (ο πρώην ηγέτης των REvil )“επέστρεψε από τους νεκρούς”και δεν ήταν χαρούμενος που οι προγραμματιστές λογισμικού του προσπαθούσαν να χρησιμοποιήσουν το ransomware του. Το δεύτερο είναι ότι μια κυβερνητική υπηρεσία κατάφερε να διεισδύσει στο διακομιστή πριν κλείσει η λειτουργία την πρώτη φορά, πήρε το ιδιωτικό κλειδί του Unknown και αποφάσισε να αφαιρέσει τους νέους υπεύθυνους», είπε ο Liska .
‘Κανονικά, απορρίπτω αρκετά τις θεωρίες συνωμοσίας ‘επιβολής του νόμου’, αλλά δεδομένου ότι οι αρχές επιβολής του νόμου μπόρεσαν να τραβήξουν τα κλειδιά από την επίθεση στο Kaseya, είναι μια πραγματική πιθανότητα. Η επανεκκίνηση του REvil ήταν άστοχη από την αρχή. Rebranding συμβαίνουν πολύ στο ransomware μετά από ένα κλείσιμο. Αλλά κανείς δεν φέρνει παλιά υποδομή που κυριολεκτικά στοχοποιούνταν από κάθε επιχείρηση επιβολής του νόμου που δεν ονομαζόταν Ρωσία στον κόσμο ξανά στο διαδίκτυο. Αυτό είναι απλώς χαζό.’
Ο Liska είπε ότι ενώ κάποιοι μπορεί να αμφισβητούν εάν το δράμα μέσα στην ομάδα είναι αληθινό, πιστεύει ότι είναι πιθανό να είναι όντως, σημειώνοντας την εσωτερική διαμάχη που έχει κατακλύσει άλλες ομάδες ransomware φέτος.
«Υπάρχουν πολλά χρήματα στο ransomware αυτή τη στιγμή και με πολλά χρήματα θα υπάρξει δράμα», είπε.
Όμως, ενώ οι χειριστές του REvil μπορεί να έχουν κλείσει αυτή τη συγκεκριμένη ομάδα, ο Liska είπε ότι δεν υπάρχει αμφιβολία ότι όλοι όσοι ήταν μέρος της οργάνωσης REvil θα συνεχίσουν να διεξάγουν επιθέσεις ransomware.
‘Είτε πρόκειται για τη δημιουργία ενός νέου ransomware είτε για συνεργασία με μια άλλη ομάδα ransomware, είναι δύσκολο να εγκαταλείψουν τα χρήματα που μπορούν να βγουν από το ransomware’, είπε η Liska.
Στο XSS, ο Nikkel είπε ότι ο 0_neday ρωτήθηκε για το ποιος θα συνεργαστεί με τον REvil μετά από αυτήν την τελευταία σειρά προβλημάτων και απάντησε ότι όπως έχουν τα πράγματα θα συνεχίσει να δουλεύει μόνος του.
Με πληροφορίες από zdnet.com
