REvil Threat Actor Group utfører to nye angrep

Ransomware-trussel skuespillergruppe REvil ser ut til å ha trukket av to nye vellykkede angrep, ifølge rapporter. Det første av de to siste ofrene for hackerne er et moteklærfirma kalt French Connection som markedsfører produktene sine under den frekke merkevaren FCUK, som den er basert i Storbritannia. Det andre offeret ligger i Sør-Amerika og er et brasiliansk medisinsk selskap som heter Grupo Fleury.

REvil, som også er enheten som driver den beryktede Sodinokibi ransomware som har eksistert i noen år nå, brøt French Connections backend-servere og exfiltrerte personlig informasjon relatert til selskapets høytstående ledere.

Threatpost rapporterte om hendelsen, sitert den britiske publikasjonen The Register og informerte om at franske Connection-ledere har fått sine personlige ID-kortskanninger vist av hackerne som bevis på deres vellykkede angrep.

French Connection publiserte en uttalelse som informerte om innbruddet og sa også at selskapet ikke har "noe bevis" på at de dårlige aktørene var i stand til å få tilgang til kundeinformasjon. Som forventet, kuttet selskapet berørte systemer fra det større nettverket umiddelbart da de fikk vite om bruddet og deretter hyret ekstern hjelp for å fikse situasjonen.

Angrepet mot det brasilianske legeselskapet fant sted 22. juni, og fra neste dag uttalte de at de fortsatt jobbet for å gjenopprette normal drift. Uttalelsen om angrepet ble gjort tilgjengelig av en online publikasjon i Rio de Janeiro.

Angrepet på legeselskapet er lett å forklare, for hvis hackerne klarte å få tak i pasientdata og testresultater, kunne de lett presse ut penger for ikke å lekke det online. Situasjonen med French Connection er imidlertid mer interessant. Det ser ikke ut til å ha vært noe stort løsesumskrav her, eller i det minste virker det ikke sannsynlig, gitt hva hackerne bestemte seg for å vise som bevis på angrepet. Skiftet mot å målrette høytstående enkeltpersoner og ikke bedriftsdatabaser til et selskap er interessant.

Threatpost siterte videre sikkerhetsekspert Dirk Schrader og han tok opp et veldig interessant nytt begrep - 'ransomware fatigue'. Implikasjonen var at denne typen ransomware-angrep har blitt så hyppige, og kunngjøringer om enda et offer for REvil, DarkSide-gruppen eller en annen trusselaktørgruppe har blitt så hyppige, begge selskaper og IT-sikkerhetssamfunnet begynner å bli litt apatiske det hele.