Een internationale groep van veiligheidsdiensten, waaronder de FBI, heeft REvil van het net gehaald. REvil is de bende achter onder meer de Kaseya-aanval die meer dan duizend bedrijven trof.
De sites van de cyberbende gingen vorige week geleden offline, al de tweede keer sinds de bende notoriteit kreeg door enkele zware ransomware-aanvallen. Daarbij liet een gebruiker die gelinkt wordt aan de bende, O_neday, op fora weten dat het betaalportaal en de blog van REvil was gehackt. Volgens Reuters was dit het werk van politiediensten in meerdere landen, die REvil’s eigen strategieën tegen de bende gebruikten door back-ups van de site en de blog te infecteren.
REvil was de voorbije maanden een van de meer notoire cyberbendes. Ze wordt onder meer gelinkt aan de aanval die op het Amerikaanse energiebedrijf Colonial Pipeline, maar zouden ook een advocatenkantoor gehackt hebben dat muzieksterren als Lady Gaga, U2 en Madonna vertegenwoordigt. De zwaarste aanval van de bende was echter gericht tegen IT-bedrijf Kaseya. Dat maakt tools voor beheer van op afstand, en op die manier kon de bende meer dan duizend bedrijven, waaronder enkele Belgische, treffen.
Enkele weken na de hack kreeg Kaseya een universele sleutel voor de ransomware, waarvan ondertussen geweten is dat hij door de FBI was bemachtigd. Politiediensten hadden dus toegang tot de servers van REvil, en hielden de sleutel 19 dagen achter in een poging de bende in de val te lokken. Dat is op dat moment niet gelukt, de bende verdween korte tijd na de Kaseya hack.
Bij het heropstarten van de servers voor de herintroductie van de bende, zou 0_neday echter ook de achterpoortjes en malware van politiediensten opnieuw tot leven hebben gewekt, zegt Oleg Skulkin van securitybedrijf Group-IB aan Reuters. Op die manier zou de bende nu ‘voor echt’ van het net zijn gehaald, al houdt weinig de eigenlijke leden tegen om onder een andere naam opnieuw te beginnen.
Fout opgemerkt of meer nieuws? Meld het hier