REvil ransomware

REvil è l'handle comunemente usato per un gruppo di attori delle minacce che si occupa principalmente di ransomware. Lo stesso gruppo criminale viene talvolta chiamato Sodinokibi, dal nome di un altro ceppo di ransomware utilizzato originariamente dal gruppo.

REvil è un'operazione privata gestita da criminali informatici che gestiscono un anello ransomware-as-a-service. Le parti affiliate possono, in un certo senso, affittare l'infrastruttura server di REvil e i payload ransomware e lanciare attacchi propri, dividendo qualsiasi potenziale profitto illegale dal riscatto pagato con il gruppo REvil.

Non ci sono prove concrete sul paese in cui opera REvil, ma si ipotizza che il gruppo potrebbe avere sede in Russia, poiché non hanno mai lanciato attacchi contro aziende e obiettivi situati in Russia o in altri paesi appartenenti al cosiddetto ex blocco sovietico. Si ipotizza anche che il gruppo REvil sia in qualche modo correlato al gruppo di minacce DarkSide, poiché il codice del ransomware utilizzato dai due gruppi di hacker presenta alcune somiglianze.

Il gruppo REvil è nel mirino della comunità infosec dalla fine del 2019, con attacchi significativi e attività in ripresa nel 2020.

Notevoli attacchi passati attribuiti a REvil

Gli attacchi più importanti eseguiti da REvil in passato includono l'attacco a Quanta Computers, un produttore di hardware con sede a Taiwan. REvil ha rubato piani e documentazione relativi ai prossimi prodotti Apple durante l'attacco.

Poco più di un mese fa, REvil era anche dietro il massiccio lavoro di ransomware su JBS USA Holdings, il più grande fornitore di carne fresca negli Stati Uniti. L'attacco è culminato in JBS che ha pagato un enorme $ 11 milioni agli hacker per ottenere uno strumento di decrittazione e ripristinare le loro reti al normale funzionamento.

Nel giugno 2021, REvil si è anche assunto la responsabilità dell'attacco ransomware segnalato dalla società statunitense di apparecchiature per la produzione di energia.

Nuovi attacchi lanciati dagli hacker ransomware REvil che prendono di mira centinaia di aziende durante le festività del 4 luglio

Una campagna informatica che coinvolge il ransomware REvil ha iniziato a prendere di mira le aziende del Nord America durante il weekend del 4 luglio. In questo particolare attacco, noto come attacco alla catena di approvvigionamento, REvil ha utilizzato un software desktop remoto di terze parti sviluppato dalla società di supporto IT Kaseya, per diffondere il suo carico utile ad altre aziende.

La società ha dichiarato che il loro software remoto veniva utilizzato per diffondere REvil a vittime ignare. I rapporti affermano che almeno 200 aziende statunitensi sono state colpite e 40 aziende internazionali.

L'attacco REvil Ransomware è stato scoperto venerdì 2 luglio dopo che REvil ha utilizzato un aggiornamento software per compromettere i servizi di desktop remoto di Kaseya. In risposta all'attacco, l'azienda ha spento i suoi server SaaS per proteggere i dati dei clienti e li ha esortati ad adottare misure precauzionali contro l'hacking. Tuttavia, poiché l'attacco è avvenuto proprio all'inizio delle vacanze del 4 luglio, è probabile che le risposte alla minaccia da parte delle aziende colpite subiranno ritardi.