SIKKERHET

Reuters: Internasjonal operasjon bak hackingen av Revil

FBI skal ha holdt tilbake dekrypterings-nøkkel mens de jaktet på Revil i det stille.

Da Revil brukte egen backup til å gjenopprette infrastrukturen i september, var flere interne systemer allerede kontrollert av myndighetene.
Da Revil brukte egen backup til å gjenopprette infrastrukturen i september, var flere interne systemer allerede kontrollert av myndighetene. Illustrasjonsfoto: Marius Jørgenrud
22. okt. 2021 - 10:45

Etter å ha forsvunnet sporløst, for så å dukke opp igjen med ny talsperson, gikk Revil av lufta tidligere denne uka. 

Det var uklart hvem som sto bak, og Digi.no og andre medier spekulerte i om det var FBI eller tidligere medlemmer i den kriminelle gruppa som hadde tatt kontroll over Revils infrastruktur. 

Nå melder Reuters at det er en internasjonal operasjon som kan ta æren for å ha tatt ned gruppa. 

Internasjonal operasjon 

Det er kilder fra private selskaper som samarbeider med amerikanske myndigheter som bekrefter dette til Reuters. 

Lederen for cybersikkerhetsstrategi i VMWare, Tom Kellerman, jobber som rådgiver for amerikanske Secret Service i forbindelse med etterforskninger av cyberkriminelle. Han forteller Reuters at det er etterretningspersonell og politistyrker som har stoppet gruppa fra å angripe flere selskaper. 

– FBI har sammen med Cyber Command, Secret Service og likesinnede land gjennomført en betydelig og disruptiv operasjon mot disse gruppene, sier Kellermann. 

Politisk oppmerksomhet

Revil har de siste månedene stått bak angrep som har rammet viktig infrastruktur og vanlige folks hverdag.

I mai ble krypterings-programvare med navnet Darkside, som ble utviklet i tilknytning til Revil, brukt til et massivt angrep på Colonial Pipeline, selskapet som driver den største drivstoffrørledningen i USA. Angrepet førte til gass-mangel på østkysten i USA. Også den amerikanske avdelingen av verdens største kjøttforedlingsselskap JBS Food måtte stenge produksjonen ved flere anlegg etter at selskapets nordamerikanske servere ble angrepet.    

Det er nettopp i kjølvannet av disse angrepene amerikanske myndigheter har forsøkt å stramme grepet, og Biden-administrasjonen har tatt initiativ til en internasjonal allianse for å knuse utpressingsvirus en gang for alle. 

At nettopp Revil står bak flere av angrepene som har fått politisk oppmerksomhet, kan tyde på at amerikanske myndigheter ønsket å statuere et eksempel og gå hardt etter Revil. 

– Revil sto på toppen av lista, sier Kellermann til Reuters. 

Holdt tilbake dekrypteringsnøkkel 

Mange ofre har blitt utsatt for datalekkasjer og utpressing. Digi.no har blant annet skrevet om verdikjedeangrepet mot Kaseya, som rammet mer enn tusen bedrifter. 

Etter angrepet mot Kaseya har FBI sittet på dekrypteringsnøkkelen som gjorde det mulig for ofrene for angrepet å hente ut dataene sine uten å betale løsepenger. 

Nå skal FBI ha innrømmet at de i flere uker holdt tilbake nøkkelen mens de i stillhet jaktet på Revil-folk. 

Revil gikk som kjent av lufta i juli. Da den kriminelle gjengen brukte egen backup til å komme i gang igjen i september, restartet de uten å vite at noen interne systemer allerede var kontrollert av lovens lange arm. 

– Revil gjenopprettet infrastrukturen fra backup-ene i den tro at disse ikke hadde blitt kompromittert. Ironisk nok har gjengens egen favoritt-taktikk med å kompromittere backups blitt brukt mot dem, sier Oleg Skulkin, nestleder i kriminalteknisk lab i sikkerhetsselskapet Group-IB, til Reuters. 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.