REvil verschijnt opnieuw ten tonele

Man zit met een laptop op zijn schoot in een donkere kamer

Na een korte periode van afwezigheid is REvil terug van weggeweest. De websites van de Russische hackersgroep zijn weer online, die slachtoffers kunnen bezoeken om het gevraagde losgeld te betalen. Tevens hebben leden van het hackerscollectief recentelijk nieuwe slachtoffers gemaakt.

Dat zegt BleepingComputer, die met verschillende bronnen heeft gesproken die de terugkeer van de aan Rusland gelieerde hackers bevestigen.

REvil kiest het hazenpad

REvil, bij beveiligingsexperts ook wel beter bekend onder de noemer Sodinokibi, is een hackersgroep die vanuit Rusland opereert. De Russische veiligheidsdienst GRU zou nauwe banden hebben met de leden en hen zelfs opdracht verstrekken om buitenlandse mogendheden en internationale bedrijven aan te vallen. Dit wordt overigens ten stelligste ontkend door het Kremlin. Feit is wel dat REvil door de jaren heen vele slachtoffers heeft gemaakt, waaronder vleesproducent JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya.

Half juli was REvil online ineens nergens meer te bekennen. De sites op het dark web en het reguliere internet waren spontaan offline gehaald. Ook de helpdesk was niet langer bereikbaar. Tot slot was Unknown, de woordvoerder van de hackersgroep, verbannen van het hackersforum XSS.

Waarom REvil uit het niets van de aardbodem verdween, is nog altijd een mysterie. De een suggereert dat de supply chain aanval op Kaseya de aandacht van opsporings- en handhavingsinstanties wereldwijd heeft getrokken. Omdat het te heet onder de voeten werd, zou de hackersgroep alle acties hebben gestaakt. De ander beweert dat de Amerikaanse president Biden verantwoordelijk was voor de verdwijning van REvil. Hij beloofde de Russische president Poetin dat de VS zou optreden tegen hackers als de Russische overheid geen actie ondernam.

REvil maakt comeback

Hadden de hackers van REvil de handdoek definitief in de ring gegooid? Maandenlang had niemand het antwoord op deze vraag. Tot voor kort. REvil is namelijk terug van weggeweest. Beveiligingsonderzoeker Brett Callow van antivirusbedrijf Emsisoft zei afgelopen week dat het Russische hackerscollectief weer had toegeslagen. Op 7 september, twee maanden nadat REvil ineens verdween, waren de Tor-betalingssite en de website met datalekken ineens weer online te vinden. Een dag later konden slachtoffers inloggen.

Het echte bewijs dat de Russische hackers weer terug zijn, kwam toen REvil op donderdag 9 september een nieuw slachtoffer maakte. Woordvoerder Unknown -ook wel UNKN genoemd- bevestigde op een hackersforum dat er nieuwe ransomware-aanvallen hebben plaatsgevonden. Op een Russisch forum ontkrachtte de hackersgroep dat opsporingsinstanties de universele decryptor van Kaseya online hadden gezet. Een operator van de groep was naar eigen zeggen hiervoor verantwoordelijk.

Tot ieders grote verbazing gebruiken de hackers dezelfde naam. Vaak nemen ze een andere naam of identiteit aan om een link met eerdere aanvallen te verdoezelen. REvil niet: de hackersgroep heeft er bewust voor gekozen om onder hun vertrouwde en bekende naam hun activiteiten voort te zetten.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen