UTPRESSINGSVARE

Kriminell hackergruppe forduftet på mystisk vis

Infrastrukturen som er brukt til svært mange løsepengeangrep, forsvant brått. Selv gruppas kontoer på russiske undergrunnsfora skal være sperret.

Revil er som sunket i jorda. Det inkluderer både åpne og skjulte nettressurser, som en Onion-basert blogg på det såkalte «mørke nettet» som har fungert som lekkasjenettsted med oppramsing av ofre og utvalgte stjålne dokumenter.
Revil er som sunket i jorda. Det inkluderer både åpne og skjulte nettressurser, som en Onion-basert blogg på det såkalte «mørke nettet» som har fungert som lekkasjenettsted med oppramsing av ofre og utvalgte stjålne dokumenter. Montasje: Colourbox / skjermdump av nettstedet tatt av digi.no
14. juli 2021 - 13:40

Ingen vet hvor den antatt russiske trusselaktøren kan ha tatt veien, eller om gårsdagens forsvinningsnummer er midlertidig eller permanent.

Revil, eller «ransomware evil», har bygd seg opp et rykte som verdens kanskje mest kjente kriminelle hackergruppe etter en lang rekke angrep med utpressingvare de siste årene.

På tirsdag forsvant serverinfrastrukturen og nettstedene som er knyttet til gruppa, som har brukt en rekke ressurser både på det åpne nettet og krypterte Tor Onion-baserte nettsteder til sin lyssky virksomhet.

Backend til å drive aktiviteten skal ha forduftet på mystisk vis. Det samme gjelder tilhørende tjenester til å forhandle om løsepenger, kreve inn betaling og nettsteder hvor de har publisert stjålne dokumenter og lister over ofrene.

BBCBleeping ComputerPolitico, Threatpost og andre melder det samme. Digi.no kan selv bekrefte at nettstedet «happy blog», med en Tor Onion-adresse på det såkalte «mørke nettet» som lenge har vært knyttet til Revil, nå er offline.

I sosiale medier sirkulerer det samtidig skjermbilder som hevder at en talsperson for Revil, pseudonymet «Unknown», skal være sperret ute fra russiskspråklige undergrunnsfora knyttet til kjøp og salg av hackerverktøy.

Ukjent årsak

Revil (også kjent under navnet Sodinokibi) er både en virksomhet – eller kriminelt miljø om du vil – samt navnet på skadevaren de tilbyr til kriminelle partnere, som deler utbyttet fra løsepengeangrep med bakmennene i en slags franchisemodell eller «ransomware-as-a-service».

Det er en trusselaktør som dukket opp i 2019, men som enkelte sikkerhetseksperter tror at springer ut fra en eldre, nedlagt gruppe kalt Gandcrab. 

Hva som skjedde med Revil, eller årsaken til at virksomheten brått forsvant, er nå gjenstand for en rekke spekulasjoner, men foreløpig uten klare svar.

Økt press fra myndighetene er én teori, etter at USAs president Joe Biden nylig skal ha tatt opp hackerproblematikk med Russlands president Vladimir Putin.

Rammet blant annet Coop og Bauhaus

Revil har den siste tiden fått mye oppmerksomhet etter en rekke omfattende cyberangrep, inkludert verdikjedeangrepet mot Kaseya, som rammet svenske Coop og mer enn tusen andre bedrifter, samt kjøttgiganten JBS og byggevarekjeden Bauhaus. Tidligere i år ble også Tietoevry rammet av løsepengevirus fra samme gruppe.

 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.