Ransomware Threat Actor REvil strony internetowe przechodzą w tryb offline
We wczesnych godzinach 13 czerwca wszystkie strony internetowe obsługiwane przez REvil – jednego z największych aktywnych cyberprzestępców zajmujących się oprogramowaniem ransomware – zostały wyłączone. Nie ma twardych informacji dotyczących przyczyny zaciemnienia.
W tej chwili każdy, kto śledzi wiadomości o cyberbezpieczeństwie, prawdopodobnie wie, kim jest REvil. Gang oprogramowania ransomware stał za niedawnym atakiem ransomware o wartości 11 milionów dolarów na JBS – największego amerykańskiego dostawcę świeżego mięsa, a także za niedawnym atakiem na łańcuch dostaw na Kaseya.
We wtorek 13 czerwca wszystkie strony internetowe obsługiwane i powiązane z REvil, zarówno w dark webie, jak i te dostępne normalnie, przeszły w tryb offline. W swoim raporcie dotyczącym incydentu Threatpost podkreśla, że niekoniecznie oznacza to, że infrastruktura REvil została rozebrana przez organy ścigania, po prostu oznacza, że strony internetowe nie były dostępne „przynajmniej” do popołudnia tego samego dnia.
Bardzo łatwo jest spekulować, że REvil pogrąża się w ciemności na jakiś czas ma coś wspólnego z telefonem prezydenta Joe Bidena i prezydenta Rosji Władimira Putina zaledwie kilka dni temu, podczas którego Biden próbował naciskać na Putina, aby podjął zdecydowane działania przeciwko gangom ransomware działający poza terytoriami rosyjskimi. Biden był bardzo stanowczy w swoim stanowisku i na pytanie dziennikarzy, czy Stany Zjednoczone są gotowe do podjęcia działań przeciwko infrastrukturze wykorzystywanej przez grupy ransomware z siedzibą w Rosji, jego odpowiedź była krótka i twierdząca.
Threatpost zacytował eksperta ds. cyberbezpieczeństwa Jake'a Williamsa, pełniącego funkcję CTO w BreachQuest, który powiedział, że niezależnie od powodów, dla których strony REvil przestają działać, cyberprzestępcy zajmujący się zagrożeniami ransomware działający z Rosji mieli „pożyczony czas” od momentu, w którym grupa DarkSide przeprowadziła włamanie na Colonial Pipeline na początku maja 2021 r.
Istnieje wiele teorii na temat tego, co naprawdę stało się ze stronami internetowymi REvil, i rozciągają się one od zaangażowania organów ścigania, przez REvil po prostu próbujące zmienić markę i restrukturyzację, po po prostu REvil, który jest po prostu zbyt przestraszony i przynajmniej chwilowo ukrywa się nisko.
Zbytnim optymizmem byłoby mieć nadzieję, że REvil zlikwidowano raz na zawsze, zwłaszcza wobec braku oficjalnych zapowiedzi zaangażowania jakichkolwiek władz państwowych. To, czy REvil wróci z huśtawką po tym, czy naprawdę zostało dotknięte przez rząd, okaże się.
