Infrastructuur REvil uit het niets offline

Google Chrome geeft foutmelding

De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het dark web, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.

Dat schrijft BleepingComputer.

REvil verbannen van populair hackersforum

Rond 19:00 Nederlandse tijd gingen de servers en sites offline. REvil kan zodoende niet langer gestolen persoonsgegevens van bedrijven en organisaties verkopen aan andere hackers en cybercriminelen. Het innen van losgeld is hierdoor eveneens onmogelijk gemaakt: daarvoor gebruikte het Russische hackerscollectief haar eigen infrastructuur. Wie nu een van de sites op het dark web bezoekt, krijgt de melding ‘Onionsite not found’ in beeld. Cybersecurityexpert Lawrence Abrams van BleepingComputer zegt op Twitter dat de helpdesk van REvil eveneens offline is.

Het gerucht gaat dat REvil een dagvaarding heeft ontvangen van Russische opsporings- en handhavingsdiensten en zodoende al haar servers heeft gewist. Dit bericht is niet bevestigd door de Russische autoriteiten. Abrams meldt ook op Twitter dat Unknown, een hacker die wordt gezien als de woordvoerder van REvil, na deze berichtgeving is verbannen van het populaire Russisch-Engelse hackersforum XSS. Volgens ethisch hacker Vitali Kremez worden leden van dit forum veelal verbannen als ze gezocht worden door de politie.

Het wordt REvil te heet onder de voeten

Waarom REvil spontaan zowel van het dark web als het reguliere web van de aardbodem is verdwenen, is een mysterie. Een mogelijke verklaring is dat het de hackers te heet onder de voeten wordt. Begin deze maand voerden de hackers van REvil een supply chain aanval uit op honderden bedrijven en organisaties wereldwijd. Ze maakten misbruik van kwetsbaarheden in Virtual System Administrator (VSA) van ICT-dienstverlener Kaseya. Afnemers gebruiken deze software om servers en computersystemen van hun klanten op afstand te beheren. Dankzij het lek konden ze netwerken van zo’n 1.500 bedrijven infiltreren en ransomware installeren. In een publieke boodschap eiste REvil 70 miljoen dollar aan losgeld voor een universele decoderingssleutel of decryptor.

In zeker 17 landen zijn bedrijven en organisaties het doelwit geworden van de ketenaanval, waaronder Nederland. Gezien de brutaliteit, omvang en de maatschappelijke impact die zo’n aanval heeft, is het begrijpelijk dat inlichtingen- en opsporingsdiensten hun inspanningen opvoeren om de daders te achterhalen. Mogelijk werpt dat zijn vruchten af en proberen de hackers al hun digitale sporen te wissen.

Is dit een Amerikaanse vergeldingsactie?

Een andere mogelijkheid voor het spontaan offline gaan van REvil, is dat president Biden actie heeft ondernomen. Hij heeft de Russische president Vladimir Poetin inmiddels meerdere malen gesproken over de cyberaanvallen die vanuit zijn land worden uitgevoerd en de Amerikaanse samenleving en economie treffen.

De Amerikaanse president heeft tegen Poetin gezegd dat hij wil dat Rusland ingrijpt als Russische hackers cyberaanvallen uitvoeren. “Ik heb hem heel duidelijk gemaakt dat de VS verwacht dat, wanneer een ransomware-operatie vanaf zijn grondgebied wordt uitgevoerd, ook al geeft de staat daarvoor geen opdracht, wij verwachten dat zij optreden als wij hun voldoende informatie geven om op te treden tegen wie dat is”, zo vertelde Biden afgelopen week tegenover een groep journalisten.

Vergeldingsacties werden niet uitgesloten. Een senior medewerker van de regering zei tegenover persbureau Reuters dat Biden op korte termijn opdracht geeft om vergeldingsacties uit te voeren. “We gaan niet verklappen wat die acties precies zullen zijn. Sommige zullen duidelijk en zichtbaar zijn, andere misschien niet. Maar we verwachten dat ze in de komende dagen of weken worden uitgevoerd.” Misschien is het offline halen van de servers en websites van REvil een vergeldingsactie van de Amerikanen.

DarkSide gooit de handdoek in de ring

Overigens is het niet vreemd dat hackers er van het ene op het andere moment het spontaan voor gezien houden. DarkSide, eveneens een Russische hackersgroep, gooide afgelopen mei de handdoek in de ring. Dat gebeurde nadat het 4,4 miljoen dollar van de Amerikaanse aardoliemaatschappij The Colonial Pipeline en het Duitse distributiebedrijf in chemicaliën Brenntag had gekregen.

REvil-woordvoerder Unknown zei hierover dat zijn groep de servers van DarkSide uit de lucht had gehaald. De aanvallen die DarkSide uitvoerde hadden wellicht een te grote maatschappelijke impact. Daarmee wordt niet alleen de druk van opsporingsdiensten opgevoerd, maar is tevens slecht voor het imago.

“We richten ons alleen op grote en winstgevende bedrijven. We vinden het eerlijk dat een deel van het geld dat zij betaald hebben naar goededoelenorganisaties gaat. Ongeacht hoe je over ons werk denkt, we zijn verheugd dat onze inspanning het leven van een ander heeft beïnvloed”, zo zei REvil eerder dit jaar in een persverklaring. DarkSide bood na afloop excuses aan voor de ransomware-aanval op Colonial Pipeline, maar tevergeefs.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen