Οι ιστότοποι Ransomware Threat Actor REvil πηγαίνουν εκτός σύνδεσης
Στις πρώτες ώρες της 13ης Ιουνίου, όλοι οι ιστότοποι που διαχειρίζεται η REvil - ένας από τους μεγαλύτερους ενεργούς παράγοντες απειλής ransomware - βγήκαν εκτός σύνδεσης. Δεν υπάρχουν σκληρές πληροφορίες σχετικά με την αιτία της διακοπής ρεύματος.
Σε αυτό το σημείο, όποιος παρακολουθεί ειδήσεις για την ασφάλεια στον κυβερνοχώρο πιθανότατα γνωρίζει ποιος είναι ο REvil. Η συμμορία ransomware ήταν πίσω από την πρόσφατη επίθεση ransomware ύψους 11 εκατομμυρίων δολαρίων στην JBS - τον μεγαλύτερο προμηθευτή νωπού κρέατος της Αμερικής, καθώς και την πιο πρόσφατη επίθεση αλυσίδας εφοδιασμού στην Kaseya.
Την Τρίτη 13 Ιουνίου, όλοι οι ιστότοποι που λειτουργούσαν και συσχετίστηκαν με το REvil, τόσο στον σκοτεινό ιστό όσο και σε αυτούς που ήταν προσβάσιμοι κανονικά, έγιναν εκτός σύνδεσης. Στην έκθεσή τους για το περιστατικό, το Threatpost επισημαίνει ότι αυτό δεν σημαίνει απαραίτητα ότι η υποδομή της REvil έχει διαχωριστεί από την επιβολή του νόμου, απλά σημαίνει ότι οι ιστότοποι δεν ήταν προσβάσιμοι, "τουλάχιστον" μέχρι το απόγευμα της ίδιας ημέρας.
Είναι πολύ εύκολο να υποθέσουμε ότι η REvil σκοτεινιάζει για λίγο έχει να κάνει με τον πρόεδρο τηλεφωνικής κλήσης Joe Biden και τον Ρώσο πρόεδρο Βλαντιμίρ Πούτιν μόλις πριν από λίγες μέρες, κατά την οποία ο Μπάιντεν προσπάθησε να πιέσει τον Πούτιν να λάβει αποφασιστική δράση εναντίον συμμοριών ransomware λειτουργούν εκτός Ρωσικών εδαφών. Ο Μπάιντεν ήταν πολύ σταθερός στη στάση του και όταν ρωτήθηκε από δημοσιογράφους αν οι ΗΠΑ είναι έτοιμες να αναλάβουν δράση κατά της υποδομής που χρησιμοποιούν οι ομάδες ransomware που εδρεύουν στη Ρωσία, η απάντησή του ήταν σύντομη και καταφατική.
Η Threatpost ανέφερε ότι ο εμπειρογνώμονας στον τομέα της ασφάλειας στον κυβερνοχώρο Τζέικ Ουίλιαμς, που ενεργεί ως CTO του BreachQuest, δήλωσε ότι ανεξάρτητα από τους λόγους πίσω από τους οποίους οι ιστότοποι REvil πηγαίνουν εκτός σύνδεσης, οι ηθοποιοί απειλών ransomware που λειτουργούν εκτός Ρωσίας ήταν "σε χρόνο δανεισμού" από τη στιγμή που η ομάδα DarkSide έβγαλε το hack στο Colonial Pipeline στις αρχές Μαΐου 2021.
Οι θεωρίες για το τι πραγματικά συνέβη στους ιστότοπους της REvil είναι πολλές και κυμαίνονται από τη συμμετοχή των υπηρεσιών επιβολής του νόμου στην REvil απλώς προσπαθώντας να αναδιαμορφώσουν και να αναδιαρθρώσουν, έως την REvil απλώς να φοβάται και να βρίσκεται χαμηλά, τουλάχιστον στιγμιαία.
Θα ήταν υπερβολικά αισιόδοξο να ελπίζουμε ότι η REvil έχει καταργηθεί μια για πάντα, ειδικά ελλείψει επίσημων ανακοινώσεων σχετικά με τη συμμετοχή οποιωνδήποτε κρατικών αρχών. Το αν το REvil επιστρέφει αιωρείται μετά από αυτό ή έχει πραγματικά χτυπηθεί από μια κατάργηση της κυβέρνησης, πρέπει να δούμε.
