REvil Ransomware
REvil är det vanligaste handtaget för en hotaktörsgrupp som främst handlar om ransomware. Samma kriminella outfit kallas ibland Sodinokibi, efter namnet på en annan stam av ransomware som gruppen ursprungligen använde.
REvil är en privat verksamhet som drivs av cyberbrottslingar som driver en ransomware-as-a-service-ring. Anslutna parter kan på sätt och vis hyr ut REvils serverinfrastruktur och ransomware-nyttolaster och starta egna attacker, vilket delar upp eventuell olaglig vinst från betald lösen med REvil-gruppen.
Det finns inga hårda bevis för det land som REvil arbetar utifrån, men det finns spekulationer om att gruppen kan vara baserad i Ryssland, på grund av att de aldrig har startat angrepp mot företag och mål i Ryssland eller i andra länder som tillhör till det så kallade före detta sovjetblocket. Det spekuleras också att REvil-gruppen på något sätt är relaterad till DarkSide-hotgruppen, eftersom koden för ransomware som de två hackargrupperna använder har vissa likheter.
REvil-gruppen har varit i sikte för infosec-samhället sedan slutet av 2019, med betydande attacker och aktivitet som ökat under 2020.
Anmärkningsvärda tidigare attacker tillskrivna REvil
De mest anmärkningsvärda attackerna utförda av REvil tidigare inkluderar attacken mot Quanta Computers, en hårdvarutillverkare baserad i Taiwan. REvil stal planer och dokumentation om kommande Apple-produkter i attacken.
För drygt en månad sedan stod REvil också bakom det massiva ransomware-jobbet på JBS USA Holdings - den största leverantören av färskt kött i USA. Attacken kulminerade i att JBS betalade upp massiva $ 11 miljoner till hackarna för att få ett dekrypteringsverktyg och återställa sina nätverk till normal funktionsduglig ordning.
I juni 2021 tog REvil också ansvaret för den ransomware-attack som rapporterats av USA-baserade elproduktionsutrustningsföretag.
Nya attackinsatser lanserade av REvil Ransomware-hackare som riktar sig till hundratals företag under 4 juli-semester
En cyberkampanj som involverade REvil ransomware började rikta in sig på företag i Nordamerika under den 4 juli helgen. I denna specifika attack, känd som en supply-chain-attack, använde REvil en tredjepartsprogramvara för fjärrskrivbord utvecklad av IT-supportföretaget Kaseya för att sprida nyttolasten till andra företag.
Företaget uppgav att deras fjärrprogramvara användes för att sprida REvil till intet ont anande offer. Rapporter rapporterar att minst 200 amerikanska företag har påverkats samt 40 internationella företag.
REvil Ransomware-attacken upptäcktes fredagen den 2 juli efter att REvil använde en programuppdatering för att äventyra Kaseyas fjärrskrivbordstjänster. Som svar på attacken stängde företaget sina SaaS-servrar för att skydda kunddata och uppmanade dem att vidta försiktighetsåtgärder mot hacket. Eftersom attacken inträffade precis som den 4 juli började är det troligt att svar på hotet från de drabbade företagen kommer att försenas.