REvil-ransomwarebende stopt na zelf te zijn gehackt
De verspreiders van de REvil-ransomware stoppen (opnieuw) met hun operaties nu blijkt dat hun betaalportaal, server en site zelf zijn gehackt.
REvil kon zijn ransomware het afgelopen jaar bij verschillende grote bedrijven loslaten. Na de aanval op softwarebedrijf Kaseya deze zomer verdwenen de sites van de ransomwarebende al eens. Nu lijkt dat opnieuw te gebeuren, deze keer omdat de organisatie zelf slachtoffer werd.
Volgens Bleeping Computer laat 0_neday, een gebruiker geliëerd aan de bende, op een forum weten dat zowel het Tor-betaalportaal als hun blog werd gehackt en overgenomen door onbekenden. Later bevestigde die persoon ook dat de servers van de organisatie gecompromitteerd waren.
Sleutels gestolen
De omstandigheden zijn vaag, maar het lijkt er op dat iemand de private sleutels van de sites bemachtigde en zo dezelfde service opstartte op een andere server. 0_neday suggereert dat de dader zo probeerde de REvil-bende zelf te raken of op te sporen.
Het heeft er dus veel van weg dat REvil ermee stopt, al is dat niet de eerste keer. Wel is er intussen heel wat werk verricht door ordediensten en securitybedrijven. Zo is er al een tijdje een decryptiesleutel voor REvil. Niets sluit uiteraard uit dat de daders onder een andere naam, eventueel met andere malware, op termijn hun activiteiten hervatten.
Fout opgemerkt of meer nieuws? Meld het hier