Beheer

Security
Ransomware

Ransomwaregroep REvil duikt weer op

Kaseya-hackers waren in juli plots verdwenen. 

© Shutterstock BeeBright
8 september 2021

Kaseya-hackers waren in juli plots verdwenen. 

De ransomwaregroep REvil is na ongeveer twee maanden afwezigheid plots weer opgedoken. De groep is verantwoordelijk voor de grote hack via software van Kaseya begin juli. 

Beveiligingsonderzoekers verbaasden zich half juli toen alle websites van REvil plots om onbekende redenen offline werden gehaald. Nog geen twee weken daarvoor wist de groepering via software van aanbieder Kaseya zeker 1.500 organisaties wereldwijd te raken met een ransomwareaanval. De groep gebruikte daarvoor kwetsbaarheden in Kaseya's VSA beheersoftware. 

Hoewel het vaker voorkwam dat een paar websites van REvil verdwenen, was het nog niet eerder voorgekomen dat álle websites tegelijkertijd uit de lucht gingen. Ook via DNS-queries bleken de sites onvindbaar, wat kan betekenen dat de DNS-infrastructuur was afgesloten. 

Deze week zijn de websites echter weer opgedoken, constateren diverse beveiligingsonderzoekers. Onder meer de Happy Blog van de groep - waar ze gestolen data lekten - is weer terug, schrijft ZDNet. Het meest recente bericht op die site werd op 8 juli geplaatst en is gericht aan een slachtoffer, stelt Lawrence Abrams, hoofdredacteur en eigenaar van Bleeping Computer, op Twitter. Beveiligingsonderzoekers van Recorded Future en Emsisoft hebben bevestigd dat ook veel andere infrastructuur van de groep weer online is verschenen. 

Problemen niet verdwenen

Waarom REvil plots verdween, is nooit bekend geworden, hoewel er veel over is gespeculeerd. Er is bijvoorbeeld een gerucht dat de REvil-bende een bevel kreeg van de Russische overheid om hun servers uit de lucht te halen. Andere opties zijn dat er een technisch probleem is ontstaan, er een Russische of Amerikaanse overheidsactie heeft plaatsgevonden, of dat ze (tijdelijk) vrijwillig uit de lucht zijn gegaan.

Toch werd al wel verwacht dat REvil niet definitief zou zijn verdwenen, zegt ransomware-expert Allan Liska tegenover ZDNet. De verwachting was echter dat ze terug zouden keren onder een andere naam en met een andere ransomwarevariant. "Als dit daadwerkelijk dezelfde groep is met dezelfde infrastructuur, dan hebben ze niet echt afstand gecreëerd van de politie of onderzoekers, waardoor ze direct weer in het vizier staan van alle politiemachten ter wereld (behalve die van Rusland)", legt Liska uit. 

Liska stelt verder dat hij alle gebruikelijke code repositories heeft gecontroleerd en nog geen nieuwe monsters van de REvil-ransomware heeft gezien. "Als ze dus al nieuwe aanvallen zijn gestart, dan zijn het er nog niet veel geweest."

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.