Die REvil-Ransomware-Bande könnte einen tödlichen Schlag erlitten haben, wenn Berichte aus Russland zutreffen.
Das zitiert die Nachrichtenagentur Interfax Der russische Bundessicherheitsdienst (FSB) sagte heute, dass Mitglieder der Bande, die einigen Forschern auch als Sodinikibi bekannt ist, angeklagt und ihre Infrastruktur „liquidiert“ wurden.
„Der FSB Russlands hat die vollständige Zusammensetzung der kriminellen REvil-Gemeinschaft und die Beteiligung ihrer Mitglieder am illegalen Umlauf von Zahlungsmitteln festgestellt, und die Dokumentation illegaler Aktivitäten wurde durchgeführt“, sagte der Geheimdienst.
Die Verhaftungen erfolgten nach „der Berufung der zuständigen US-Behörden, die den Anführer der kriminellen Gemeinschaft und seine Beteiligung am Eingriff in die Informationsressourcen ausländischer Hightech-Unternehmen durch die Einführung von Malware, die Verschlüsselung von Informationen und die Erpressung von Geld für deren Entschlüsselung denunzierten“. sagte der FSB.
Die Verhaftungen erfolgen, während sich die Vereinten Nationen darauf vorbereiten, am 17. Januar eine dreijährige Diskussion über ein mögliches Abkommen über Cyberkriminalität zu beginnen. [UPDATE: Because of COVID-19 the start of that session will be rescheduled] Sie kommen auch sieben Monate, nachdem US-Präsident Joe Biden den russischen Präsidenten Wladimir Putin aufgefordert hat, hart gegen Cyber-Hacker mit Sitz in seinem Land vorzugehen.
Interfax sagte, der Gegenwert von mehr als 5 Millionen US-Dollar sei aus den Wohnungen von 14 Mitgliedern der Hackergruppe beschlagnahmt worden, zusammen mit Computerausrüstung, Krypto-Wallets und 20 High-End-Autos.
Als Ransomware-as-a-Service-Operation, die über Partner läuft, die den anfänglichen Hack durchführen, ist REvil seit seiner Gründung unter anhaltenden internationalen Druck geraten. Angriff letztes Jahr auf Kaseya. Die Ransomware-Zahlungsseite der Bande verschwand im Juli, um im September wieder aufzutauchen. Aber im darauffolgenden Monat wurde REvil selbst gehackt und diese Woche durch eine länderübergreifende Operation offline geschaltet. laut einem Reuters-Bericht.
Brett Callow, ein in BC ansässiger Bedrohungsanalyst bei Emisoft, kommentierte den ersten Bericht und sagte, dass zu diesem Zeitpunkt unklar sei, ob Russland wirklich vorhabe, gegen Ransomware vorzugehen, oder ob es einfach die Mitglieder eines nicht operativen Teams festgenommen habe. um den internationalen Druck zu mindern. „Macht nichts“, fügte er hinzu, „es ist ein Gewinn, denn andere Cyberkriminelle werden sich ausnahmslos Sorgen über die möglichen Folgen machen, insbesondere diejenigen, die schon einmal mit REvil zu tun hatten. Sie werden sich fragen, wie stark die Operation kompromittiert wurde und ob ihre Türen könnte als nächstes kaputt gehen.
„Länder greifen zunehmend auf Anklagen zurück und Cyberkriminalität bleibt nicht mehr ungestraft, insbesondere für Gruppen wie REvil, die bei ihren Bemühungen, Großwild zu jagen, zu nahe an der Sonne fliegen“, sagte Marc Rivero, Senior Security Researcher im GReAT Threat Intelligence-Team von Kaspersky. . „Wie wir letztes Jahr bei den Angriffen auf JBS und Colonial Pipeline gesehen haben, erregten Angriffe mit realen Folgen die Aufmerksamkeit der Öffentlichkeit und veranlassten die Strafverfolgungsbehörden, diesem Problem große Aufmerksamkeit zu widmen.“
Dies scheint ein Schritt in die richtige Richtung zu sein und zeigt die globale Zusammenarbeit, um diese wirkungsvolle Aktivität für Unternehmen und kritische Infrastrukturen weltweit anzugehen, sagte Tim Conway, technischer Direktor der ICS- und SCADA-Programme am SANS Institute. „Zumindest sollten die kriminellen Gruppen, die diese Angriffe durchführen, diese Verhaftungen als ein neues Risiko in ihrer Kalkulation betrachten, vorher gab es wenig Zusammenarbeit auf globaler Ebene, um die Aktivitäten krimineller Gruppen zu bekämpfen, und jetzt gibt es eine Demonstration, wie das funktioniert sich im Laufe der Zeit abschwächen und ob es beginnt, die Aktivitäten krimineller Gruppen abzuschrecken, wird stark von den Ereignissen in der größeren geopolitischen Arena abhängen.
Es gibt keine Bestätigung dafür, ob einer der selbst identifizierten Führungskräfte festgenommen wurde, sagte John Shier, Senior Security Advisor bei Sophos. „Die Verhaftungen durch den FSB, angeblich auf Ersuchen der US-Regierung, sind ungewöhnlich angesichts der Haltung Russlands zu solchen Verbrechen. Die Nachricht kommt zu einer Zeit, in der die politischen Spannungen zwischen den beiden Regierungen hoch sind und es leicht ist, über das Motiv zynisch zu sein. In einer Zeit, in der Russland ein wenig geopolitisches Wohlwollen braucht, verhaften sie Personen, die mit einer ehemaligen Ransomware-Gruppe in Verbindung stehen. Zumindest dient es als Warnung für andere Kriminelle, dass von Russland aus möglicherweise nicht der sichere Hafen ist, für den sie ihn hielten. Wir können uns zwar etwas Zeit nehmen, um die guten Nachrichten zu feiern, aber es ist immer wichtig, sich daran zu erinnern, dass es bei Cyberkriminalität nicht nur um Ransomware geht. Es gibt viele andere Cyberkriminelle, die von diesen Festnahmen nicht betroffen waren und weiterhin wie gewohnt operieren werden.
Palo Alto Networks Unit 42 Threat Intelligence Team letzten Sommer nannte REvil „einen der berüchtigtsten Ransomware-Betreiber der Welt. Im vergangenen Monat erpresste er eine Zahlung in Höhe von 11 Millionen US-Dollar von der US-Tochtergesellschaft des weltweit größten Fleischverpackungsunternehmens mit Sitz in Brasilien (JDS), forderte 5 Millionen US-Dollar von einem Unternehmen für medizinische Diagnostik und startete einen groß angelegten Angriff gegen Dutzende Personen, möglicherweise Hunderte von Unternehmen, die die IT-Verwaltungssoftware von Kaseya VSA verwenden.
REvil arbeitete 2018 mit einer Ransomware-Gruppe namens GandCrab zusammen . durch Popup-Downloads, wenn sie eine bösartige Website besuchen. Dann verwandelten sie sich in REvil.
MEHR IN KÜRZE
