Ransomware Threat Actor REvil-Websites gehen offline
In den frühen Morgenstunden des 13. Juni gingen alle von REvil betriebenen Websites – einem der größten aktiven Ransomware-Bedrohungsakteure – offline. Zur Ursache des Blackouts gibt es keine konkreten Informationen.
Zu diesem Zeitpunkt weiß wahrscheinlich jeder, der Cybersicherheitsnachrichten verfolgt, wer REvil sind. Die Ransomware-Bande war hinter dem jüngsten Ransomware-Angriff in Höhe von 11 Millionen US-Dollar auf JBS – Amerikas größtem Frischfleischlieferanten – sowie dem jüngsten Angriff auf die Lieferkette auf Kaseya steckt.
Am Dienstag, dem 13. Juni, gingen alle mit REvil betriebenen und mit REvil verbundenen Websites, sowohl im Darknet als auch auf normal zugänglichen Websites, offline. In ihrem Bericht über den Vorfall hebt Threatpost hervor, dass dies nicht unbedingt bedeutet, dass die Infrastruktur von REvil von den Strafverfolgungsbehörden auseinandergenommen wurde, es bedeutet einfach, dass die Websites "zumindest" bis zum Nachmittag desselben Tages nicht zugänglich waren.
Es ist sehr leicht zu spekulieren, dass REvil für eine Weile dunkel wird, was mit dem Telefonat von Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin vor wenigen Tagen zu tun hat, in dem Biden versuchte, Putin unter Druck zu setzen, entschlossen gegen Ransomware-Gangs vorzugehen von russischen Territorien aus operieren. Biden war in seiner Haltung sehr fest und als er von Journalisten gefragt wurde, ob die USA bereit seien, gegen die Infrastruktur vorzugehen, die von Ransomware-Gruppen mit Sitz in Russland verwendet wird, war seine Antwort kurz und bejahend.
Threatpost zitierte den Cybersicherheitsexperten Jake Williams, den amtierenden CTO von BreachQuest, und sagte, dass unabhängig von den Gründen für die Offline-Sicherung der REvil-Websites Ransomware-Bedrohungsakteure, die von Russland aus operierten, von dem Moment an, an dem die DarkSide-Gruppe den Hack auf Colonial Pipeline durchführte, "in geliehener Zeit" waren Anfang Mai 2021.
Es gibt viele Theorien darüber, was wirklich mit den REvil-Websites passiert ist und reichen von der Beteiligung von Strafverfolgungsbehörden bis hin zu REvil, der einfach versucht, ein Rebranding und eine Umstrukturierung vorzunehmen, bis REvil einfach zu viel Angst hat und zumindest vorübergehend zurückliegt.
Es wäre zu optimistisch zu hoffen, dass REvil ein für alle Mal abgeschafft wird, zumal keine offiziellen Ankündigungen über die Beteiligung staatlicher Behörden vorliegen. Ob REvil danach zurückkehrt oder wirklich von einem Takedown der Regierung getroffen wurde, bleibt abzuwarten.
