Słynni cyberprzestępcy znani jako REvil rzekomo powrócili do działalności. Grupa miała być powiązana z rządem Rosji, jednak w styczniu służby rzekomo rozbiły gang, co odsunęło podejrzenia o współpracy. REvil najwyraźniej jednak znów działa, co może oznaczać znaczne bliższe kontakty z władzami i ataki na zamówienie Kremla.
Rosyjskie służby informowały w styczniu, że słynna grupa ransomware, znana jako REvil, została rozbita i aresztowano 14 hakerów, po tym jak przeprowadzono naloty na ich mieszkania. Operacja okazała się skuteczna, bo od tego czasu słuch po REvil zaginął. Wygląda jednak na to, że jakiś niewyjaśnionych powodów, hakerzy powrócili do działalności, a ich strona internetowa znów jest aktualizowana i wymienia zarówno poprzednie, jak i nowe ofiary.
Nie ma pewności, czy aktywność REvil to naśladowcy, czy też oryginalna grupa znów działa. Drugi wariant może oznaczać pracę na zamówienie Kremla.
Podejrzenia o powrocie REvil ogłosili badacze bezpieczeństwa na Twitterze. Na RuTOR natknęli się oni na nową stronę cyberprzestępców, na której chwalą się swoimi dokonaniami i ujawniają skradzione dane. "Nie ma jeszcze oficjalnego potwierdzenia, że jest to rzeczywiście oryginalna grupa REvil, ale ze względu na przekierowanie oryginalnego bloga na nową domenę, można dojść do takiego wniosku" - powiedział Doel Santos, analityk zagrożeń w Palo Alto Networks' Unit 42. "Jeśli okaże się, że ta grupa nie jest tą oryginalną, nie będzie to dla nas zaskoczeniem" - dodał, zauważając, że nie jest to pierwszy przypadek, gdy inni cyberprzestępcy używają nazwy REvil, próbując przestraszyć ofiary, by zapłaciły. Wcześniej taką drogę obrał Prometheus, a badacze z Unit 42 stwierdzili, że nie widzą żadnych oznak, by obie grupy były ze sobą powiązane.
Nick Biasini, szef działu Outreach w Cisco Talos, powiedział, że potencjalne ponowne pojawienie się REvil to kolejny przykład działania gangu ransomware polegającego na znikaniu i powracaniu. "W tym przypadku marka pozostała niezmieniona, ale w naszych poprzednich badaniach nad BlackCat pokazaliśmy, jak grupy mogą potencjalnie zmienić markę, gdy organy ścigania lub inne źródła zaczną za bardzo się zbliżać" - powiedział.
Nigdy nie udowodniono, że REvil ma powiązania z rosyjskim rządem, jednak nigdy żaden atak nie został przeprowadzony na terytorium Rosji. Od lat mówiło się, że REvil może być częściowo na usługach władz, choć głośne doniesienia o aresztowaniach zdawały się przeczyć takim podejrzeniom. Oczywiście mogła to być jedynie zasłona dymna, bądź próba (zapewne udana) nakłonienia hakerów do bliższej współpracy z władzami. Nie jest wykluczone, że powrót REvil jest pomysłem ludzi Putina, a ataki będą teraz ukierunkowane na konkretne cele. Zapewne wkrótce się przekonamy, który scenariusz był prawdziwy.
Zobacz także:
- Marynarka wojenna USA zestrzeliła drona całkowicie elektrycznym laserem
- Macron domaga się końca anonimowości w internecie i obowiązku gromadzenia ID użytkowników
- Nowe przecieki na temat flagowego GPU dla GeForce'a RTX 4090
Pokaż / Dodaj komentarze do: Aresztowani w Rosji cyberprzestępcy z REvil powrócili? Mogą pracować na smyczy Putina