Verdwijning ransomware cybercriminelen 'REvil' een mysterie

Gepubliceerd op 14 juli 2021 om 15:00

De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.

Rond 19:00 Nederlandse tijd gingen de servers en sites offline. REvil kan zodoende niet langer gestolen persoonsgegevens van bedrijven en organisaties verkopen aan andere hackers en cybercriminelen. Het innen van losgeld is hierdoor eveneens onmogelijk gemaakt: daarvoor gebruikte het Russische hackerscollectief haar eigen infrastructuur. Wie nu een van de sites op het darkweb bezoekt, krijgt de melding ‘Onionsite not found’ in beeld. 

Offline door dagvaarding?

Het gerucht gaat dat REvil een dagvaarding heeft ontvangen van Russische opsporings- en handhavingsdiensten en zodoende al haar servers heeft gewist. Dit bericht is niet bevestigd door de Russische autoriteiten. Op de populaire Russisch-Engelse hackersforum XSS is hacker Unknown verbannen van het forum. Unknown wordt gezien als de woordvoerder van REvil. Volgens ethisch hacker Vitali Kremez worden leden van dit forum veelal verbannen als ze gezocht worden door de politie.

Verdwijning mysterie

Waarom REvil spontaan zowel van het darkweb als het reguliere web van de aardbodem is verdwenen, is een mysterie. Een mogelijke verklaring is dat het de hackers te heet onder de voeten wordt. Begin deze maand voerden de hackers van REvil een supply chain aanval uit op honderden bedrijven en organisaties wereldwijd. Ze maakten misbruik van kwetsbaarheden in Virtual System Administrator (VSA) van ICT-dienstverlener Kaseya. Afnemers gebruiken deze software om servers en computersystemen van hun klanten op afstand te beheren. Dankzij het lek konden ze netwerken van zo’n 1.500 bedrijven infiltreren en ransomware installeren. In een publieke boodschap eiste REvil 70-50 miljoen dollar aan losgeld voor een universele decoderingssleutel of decryptor.

Wereldwijde ransomware aanval

In zeker 17 landen zijn bedrijven en organisaties het doelwit geworden van de ketenaanval, waaronder Nederland. Gezien de brutaliteit, omvang en de maatschappelijke impact die zo’n aanval heeft, is het begrijpelijk dat inlichtingen- en opsporingsdiensten hun inspanningen opvoeren om de daders te achterhalen. Mogelijk werpt dat zijn vruchten af en proberen de hackers al hun digitale sporen te wissen.

Een andere mogelijkheid voor het spontaan offline gaan van REvil, is dat president Biden actie heeft ondernomen. Hij heeft de Russische president Vladimir Poetin inmiddels meerdere malen gesproken over de cyberaanvallen die vanuit zijn land worden uitgevoerd en de Amerikaanse samenleving en economie treffen.

De Amerikaanse president heeft tegen Poetin gezegd dat hij wil dat Rusland ingrijpt als Russische hackers cyberaanvallen uitvoeren. “Ik heb hem heel duidelijk gemaakt dat de VS verwacht dat, wanneer een ransomware-operatie vanaf zijn grondgebied wordt uitgevoerd, ook al geeft de staat daarvoor geen opdracht, wij verwachten dat zij optreden als wij hun voldoende informatie geven om op te treden tegen wie dat is”, zo vertelde Biden afgelopen week tegenover een groep journalisten.

Vergeldingsacties werden niet uitgesloten. Een senior medewerker van de regering zei tegenover persbureau Reuters dat Biden op korte termijn opdracht geeft om vergeldingsacties uit te voeren. “We gaan niet verklappen wat die acties precies zullen zijn. Sommige zullen duidelijk en zichtbaar zijn, andere misschien niet. Maar we verwachten dat ze in de komende dagen of weken worden uitgevoerd.” Misschien is het offline halen van de servers en websites van REvil een vergeldingsactie van de Amerikanen.

DarkSide eerder offline

Overigens is het niet vreemd dat hackers er van het ene op het andere moment het spontaan voor gezien houden. DarkSide, eveneens een Russische hackersgroep, gooide afgelopen mei de handdoek in de ring. Dat gebeurde nadat het 4,4 miljoen dollar van de Amerikaanse aardoliemaatschappij The Colonial Pipeline en het Duitse distributiebedrijf in chemicaliën Brenntag had gekregen.

REvil-woordvoerder Unknown zei hierover dat zijn groep de servers van DarkSide uit de lucht had gehaald. De aanvallen die DarkSide uitvoerde hadden wellicht een te grote maatschappelijke impact. Daarmee wordt niet alleen de druk van opsporingsdiensten opgevoerd, maar is tevens slecht voor het imago.

“We richten ons alleen op grote en winstgevende bedrijven. We vinden het eerlijk dat een deel van het geld dat zij betaald hebben naar goededoelenorganisaties gaat. Ongeacht hoe je over ons werk denkt, we zijn verheugd dat onze inspanning het leven van een ander heeft beïnvloed”, zo zei REvil eerder dit jaar in een persverklaring. DarkSide bood na afloop excuses aan voor de ransomware-aanval op Colonial Pipeline, maar tevergeefs.

Bron: anoniem, vpngids.nl

REvil gerelateerde artikelen