REvil Threat Actor Group udfører to nye angreb
Ransomware-trusselskuespillergruppe REvil ser ud til at have trukket ud af to nye vellykkede angreb, ifølge rapporter. Det første af de to seneste ofre for hackerne er et modetøjfirma, der hedder French Connection, der markedsfører sine produkter under den frække FCUK-branding, da den er baseret i Storbritannien. Det andet offer er beliggende i Sydamerika og er et brasiliansk medicinsk firma kaldet Grupo Fleury.
REvil, som også er den enhed, der driver den berygtede Sodinokibi-ransomware, der har eksisteret i et par år nu, overtrådte French Connections backend-servere og udfiltrerede personlige oplysninger relateret til virksomhedens højtstående ledere.
Threatpost rapporterede om hændelsen og citerede den britiske publikation The Register og informerede om, at de franske Connection-ledere har fået deres personlige ID-kortscanninger vist af hackerne som bevis for deres vellykkede angreb.
French Connection offentliggjorde en erklæring, der informerede om indtrængen og sagde også, at virksomheden ikke har "noget bevis" for, at de dårlige aktører var i stand til at få adgang til kundeoplysninger. Som forventet afbrød virksomheden berørte systemer fra det større netværk straks, da de fandt ud af bruddet og derefter hyrede ekstern hjælp til at rette op på situationen.
Angrebet på det brasilianske lægevirksomhed fandt sted den 22. juni, og fra den næste dag erklærede de, at de stadig arbejdede for at genoprette normal drift. Erklæringen om angrebet blev gjort tilgængelig af en online-publikation i Rio de Janeiro.
Angrebet på det medicinske firma er let at forklare, for hvis hackerne formåede at få fat i patientdata og testresultater, kunne de let afpresse penge for ikke at lække dem online. Situationen med French Connection er dog mere interessant. Der ser ikke ud til at have været noget stort løsesumskrav her, eller i det mindste ser det ikke sandsynligt ud i betragtning af hvad hackerne besluttede at vise som bevis for deres angreb. Skiftet mod målretning af højtstående enkeltpersoner og ikke en virksomheds virksomhedsdatabaser er interessant.
Threatpost citerede yderligere sikkerhedsekspert Dirk Schrader, og han tog et meget interessant nyt udtryk op - 'ransomware træthed'. Implikationen var, at denne type ransomware-angreb er blevet så hyppige, og meddelelser om endnu et offer for REvil, DarkSide-gruppen eller en anden trusselsaktørgruppe er blevet så hyppige, begge virksomheder og it-sikkerhedssamfundet begynder at blive lidt apatiske over for det hele.
