REvil Ransomware Çetesi Önce Saldırdı Sonra Gizemli Bir Şekilde Kayboldu
HackerNews'te yer alan habere göre, Veri sızıntısı, gasp ve ödeme portalları da dahil olmak üzere Rusya bağlantılı siber suç sendikası tarafından yönetilen birden fazla darknet ve clearnet sitesi erişilemez durumda kaldı ve "Onionsite bulunamadı" hata mesajı görüntülendi.
Grubun dark web üzerindeki Tor ağ altyapısı , bir veri sızıntısı blog sitesi ve 22 veri barındırma sitesinden oluşuyor. Altyapının çevrimdışına alınmasına neyin neden olduğu henüz belli değil.
REvil, tehdit ortamında ilk kez Nisan 2019'da ortaya çıkan en üretken bir hizmet olarak fidye yazılımı (RaaS) gruplarından biridir. 2018'in başlarında yeraltı pazarlarını vuran GandCrab fidye yazılımının bir evrimidir .
Emsisoft'tan Brett Callow, "REvil kalıcı olarak kesintiye uğradıysa, yalnızca bu yıl ABD kamu ve özel sektörlerine yönelik 360'tan fazla saldırıdan sorumlu olan bir grubun sonunu işaret edecek" dedi .
REvil'in (diğer adıyla Sodinokibi) sorumluluğunu üstlendiği ve şifreli sistemlere erişimin kilidini açmak için 70 milyon dolarlık bir fidye talep ettiği teknoloji hizmetleri sağlayıcısı Kaseya'yı hedef alan geniş çaplı bir tedarik zinciri fidye yazılımı saldırısının hemen ardından gelen bu ani gelişme merak uyandırdı.
Feci saldırı, fidye yazılımı çetesinin Kaseya VSA uzaktan yönetim yazılımındaki sıfır gün güvenlik açığını kullanarak yaklaşık 60 yönetilen hizmet sağlayıcısını (MSP) ve 1.500'den fazla alt işletmeyi şifrelediğini gördü. Mayıs ayı sonlarında REvil, dünyanın en büyük et üreticisi JBS'ye yapılan saldırıyı da üstlendi ve bu saldırı, JBS'nin gaspçılara 11 milyon dolar ödemesiyle neticelendi.
Kesinti aynı zamanda ABD Başkanı Joe Biden'ın geçen hafta Rusya Devlet Başkanı Vladimir Putin ile yaptığı telefon görüşmesine denk geliyor ve Rusya Devlet Başkanı Vladimir Putin'e ülkede faaliyet gösteren fidye yazılım gruplarını engellemek için adımlar atması için baskı yaparken kritik altyapıyı savunmak için misilleme eylemi konusunda uyarıda bulunuyor.
FireEye Mandiant'tan John Hultquist CNBC'ye verdiği demeçte , "Durum hala ortaya çıkıyor, ancak kanıtlar REvil'in altyapılarının ya operatörlerin kendileri tarafından ya da endüstri ya da kolluk kuvvetleri tarafından planlı ve eşzamanlı olarak kaldırılmasından muzdarip olduğunu gösteriyor ."
Görünüşe göre REvil'in Happy Blog'u Salı günü 01:00 EST civarında çevrimdışı hale getirildi. Grubun halka açık temsilcisi vx-underground, Unknown'ın 8 Temmuz'dan bu yana Exploit ve XSS gibi popüler bilgisayar korsanlığı forumlarında paylaşım yapmadığını belirtti .
Fidye yazılımı gruplarının, kamuoyunda çokça gündem olan olayların ardından yerin dibine girmesi alışılmadık bir durum değil. DarkSide çetesi Mayıs ayında Colonial Pipeline'ı hedefledikten sonra, operatörler , sunucularının bilinmeyen bir kolluk kuvveti tarafından ele geçirildiğini iddia ederek, grubun gerçekten emekli olup olmadığı veya yeniden marka olup olmadığı konusunda soruları gündeme getirerek, RaaS ortaklık programını tamamen sona erdirme planlarını açıkladılar.
REvil'in açıklanamayan kapanması, benzer bir şekilde, planlı bir emeklilik veya geçici bir gerileme durumu olabilir ve görünüşte dağılmaya zorlayarak, daha az dikkat çekmek için sonunda yeni bir kimlik altında yeniden bir araya gelmeye zorlayabilir veya küresel fidye yazılımı krizinin ardından artan uluslararası inceleme sonucunda da olabilir.
Grubun operasyonlarını kalıcı olarak kapattığı ortaya çıkarsa, hareket, grubun hedeflerini fidye pazarlığı yapmak ve sistemlerinin kontrolünü yeniden kazanmak için gerekli şifre çözme anahtarlarını ele geçirmek için uygun bir araç olmadan, böylece kalıcı olarak, zor durumda bırakmak zorunda kalacaktır. onları verilerinden kilitlemek.
Red Canary istihbarat direktörü Katie Nickels konuyla ilgili yaptığı paylaşımda "Bunun ne anlama geldiğini bilmiyorum ama ne olursa olsun, mutluyum!" "Eğer bu bir hükümet kararıysa - harika, harekete geçiyorlar. Oyuncular gönüllü olarak sessiz kaldılarsa - mükemmel, belki korkmuşlardır." dedi.
