REvil Threat Actor Group voert twee nieuwe aanvallen uit
Ransomware-bedreigingsgroep REvil lijkt volgens rapporten twee nieuwe succesvolle aanvallen te hebben uitgevoerd. De eerste van de twee laatste slachtoffers van de hackers is een modekledingbedrijf genaamd French Connection dat zijn producten op de markt brengt onder de brutale FCUK-branding, aangezien het in het Verenigd Koninkrijk is gevestigd. Het tweede slachtoffer bevindt zich in Zuid-Amerika en is een Braziliaans medisch bedrijf genaamd Grupo Fleury.
REvil, dat ook de entiteit is die de beruchte Sodinokibi-ransomware beheert die al een paar jaar bestaat, heeft de back-endservers van French Connection gehackt en persoonlijke informatie met betrekking tot de hooggeplaatste leidinggevenden van het bedrijf geëxfiltreerd.
Threatpost rapporteerde over het incident, citeerde de Britse publicatie The Register en informeerde dat de leidinggevenden van French Connection hun persoonlijke ID-kaartscans hebben laten zien door de hackers als bewijs van hun succesvolle aanval.
French Connection publiceerde een verklaring over de inbraak en zei ook dat het bedrijf "geen bewijs" heeft dat de kwaadwillenden toegang hadden tot klantinformatie. Zoals verwacht sloot het bedrijf de getroffen systemen onmiddellijk af van het grotere netwerk toen ze hoorden van de inbreuk en huurde vervolgens externe hulp in om de situatie op te lossen.
De aanval op het Braziliaanse medische bedrijf vond plaats op 22 juni en vanaf de volgende dag verklaarden ze dat ze nog steeds bezig waren met het herstellen van de normale bedrijfsvoering. De verklaring over de aanval werd beschikbaar gesteld door een online publicatie in Rio de Janeiro.
De aanval op het medische bedrijf is gemakkelijk uit te leggen, want als de hackers erin zouden slagen om patiëntgegevens en testresultaten in handen te krijgen, zouden ze gemakkelijk geld kunnen afpersen om het niet online te lekken. De situatie met French Connection is echter interessanter. Er lijkt hier geen grote vraag om losgeld te zijn geweest, of het lijkt in ieder geval niet waarschijnlijk, gezien wat de hackers besloten aan te tonen als bewijs van hun aanval. De verschuiving naar het richten op hooggeplaatste individuen en niet op de bedrijfsdatabases van een bedrijf is interessant.
Threatpost citeerde verder beveiligingsexpert Dirk Schrader en hij bracht een zeer interessante nieuwe term naar voren: 'ransomware-vermoeidheid'. De implicatie was dat dit type ransomware-aanval zo frequent is geworden en aankondigingen van weer een ander slachtoffer van REvil, DarkSide-groep of een andere groep met bedreigingsactoren zo frequent zijn geworden, zowel bedrijven als de IT-beveiligingsgemeenschap beginnen een beetje apathisch te worden voor het alles.
