Geng Ransomware REvil Menghilang Secara Misterius Setelah Serangan Profil Tinggi

  • Whatsapp
Ransomware REvil

REvil, kartel ransomware terkenal di balik beberapa serangan siber terbesar yang menargetkan JBS dan Kaseya, telah menghilang secara misterius dari web gelap, yang mengarah ke spekulasi bahwa perusahaan kriminal mungkin telah dihapus.

Beberapa situs darknet dan clearnet yang dikelola oleh sindikat kejahatan dunia maya yang terkait dengan Rusia, termasuk kebocoran data, pemerasan, dan portal pembayaran, tetap tidak dapat diakses, menampilkan pesan kesalahan “Onionsite tidak ditemukan.”

Bacaan Lainnya

Grup ini Infrastruktur jaringan Tor di dark web terdiri dari satu situs blog kebocoran data dan 22 situs hosting data. Tidak segera jelas apa yang mendorong infrastruktur menjadi offline.

REvil adalah salah satu grup ransomware-as-a-service (RaaS) paling produktif yang pertama kali muncul di lanskap ancaman pada April 2019. Ini adalah evolusi dari GandCrab ransomware, yang menghantam pasar bawah tanah pada awal 2018.

“Jika REvil telah diganggu secara permanen, itu akan menandai akhir dari sebuah kelompok yang bertanggung jawab atas >360 serangan terhadap sektor publik dan swasta AS tahun ini saja,” Brett Callow dari Emsisoft tweeted.

Tim Stack Overflow

Perkembangan yang tiba-tiba datang dekat dengan serangan ransomware rantai pasokan skala luas yang ditujukan pada penyedia layanan teknologi Kaseya, di mana REvil (alias Sodinokibi) bertanggung jawab dan menuntut tebusan $70 juta untuk membuka akses ke sistem terenkripsi dengan imbalan a kunci dekripsi universal yang akan membuka semua data korban.

Serangan bencana melihat geng ransomware mengenkripsi sekitar 60 penyedia layanan terkelola (MSP) dan lebih dari 1.500 bisnis hilir menggunakan kerentanan zero-day di perangkat lunak manajemen jarak jauh Kaseya VSA. Pada akhir Mei, REvil juga mendalangi serangan terhadap produsen daging terbesar di dunia JBS, yang akhirnya membayar $11 juta kepada para pemeras untuk pulih dari insiden tersebut.

Pemadaman juga bertepatan dengan Presiden AS Joe Bidenden panggilan telepon dengan Presiden Rusia Vladimir Putin minggu lalu, menekan yang terakhir untuk mengambil langkah-langkah untuk mengganggu kelompok ransomware yang beroperasi di negara itu, sambil memperingatkan tindakan pembalasan untuk mempertahankan infrastruktur penting.

“Situasinya masih berlangsung, tetapi bukti menunjukkan REvil telah mengalami penghapusan infrastruktur mereka secara bersamaan, baik oleh operator itu sendiri atau melalui industri atau tindakan penegakan hukum,” John Hultquist dari FireEye Mandiant diberitahu CNBC.

Tampaknya Happy Blog REvil dimatikan sekitar pukul 01:00 EST pada hari Selasa, dengan vx-underground mencatat bahwa perwakilan grup yang menghadap publik, Unknown, belum memposting di forum peretasan populer seperti Exploit dan XSS sejak 8 Juli.

Selanjutnya, perwakilan untuk ransomware LockBit diposting ke Forum peretasan berbahasa Rusia XSS bahwa infrastruktur serangan REvil menerima permintaan hukum pemerintah, menyebabkan server dibongkar. “REvil dilarang dari XSS,” vx-underground nanti ditambahkan.

Bukan hal yang aneh bagi kelompok ransomware untuk berada di bawah tanah setelah insiden yang dipublikasikan. Setelah geng DarkSide menargetkan Colonial Pipeline pada bulan Mei, operator mengumumkan rencana untuk mengakhiri program afiliasi RaaS untuk selamanya, mengklaim bahwa servernya telah disita oleh lembaga penegak hukum yang tidak dikenal, menimbulkan pertanyaan apakah kelompok tersebut benar-benar pensiun, atau diganti namanya. dengan nama baru.

Mencegah Serangan Ransomware

Teori ini divalidasi beberapa minggu kemudian ketika Departemen Kehakiman AS mengungkapkan bulan lalu bahwa ia dapat memulihkan sebagian besar uang yang dibayarkan oleh Colonial Pipeline ke grup DarkSide melalui analisis jejak bitcoin.

Penutupan REvil yang tidak dapat dijelaskan, dengan cara yang sama, mungkin juga merupakan kasus pensiun yang direncanakan, atau kemunduran sementara, memaksanya untuk tampaknya bubar hanya untuk akhirnya dipasang kembali dengan identitas baru sehingga kurang menarik perhatian, atau mungkin konsekuensinya peningkatan pengawasan internasional setelah krisis ransomware global.

Jika ternyata kelompok tersebut telah menutup operasi secara permanen, langkah tersebut pasti akan membuat target kelompok dalam kesulitan, tanpa cara yang layak untuk menegosiasikan uang tebusan dan mendapatkan kunci dekripsi yang diperlukan untuk mendapatkan kembali kendali atas sistem mereka, sehingga secara permanen mengunci mereka dari data mereka.

“Aku tidak tahu apa artinya ini, tapi bagaimanapun juga, aku bahagia!” tweeted Katie Nickels, direktur intelijen di Red Canary. “Jika itu adalah pencopotan pemerintah – luar biasa, mereka mengambil tindakan. Jika para aktor secara sukarela diam – bagus, mungkin mereka takut.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *