Zjevný návrat REvila ransomware syndikát uprostřed reaktivace své infrastruktury a webu s únikem temného webu – známého jako Happy Blog – vyvolal pochybnosti o předchozích zprávách o zániku posádky a může ještě předzvěst obnovenou kampaň útoků ransomware v nadcházejících měsících.
Syndikát upadl offline v polovině července za záhadných okolností, což vyvolalo spekulace komunity, že ruské úřady tlačily na gang, aby omezil jeho činnost v důsledku svého vysoce postaveného útoku na Kaseyu, který sestřelil několik podniků tím, že uzavřel jejich poskytovatele spravovaných služeb.
Jiní se domnívali, že došlo k vypadnutí v rámci organizace REvil, nebo že se členové gangu prostě rozhodli vyplatit peníze a „odebrat“ REvila, aby se soustředil na nové projekty, jako kdysi předtím.
Reaktivaci šťastného blogu REvil převzali vědci z celé bezpečnostní komunity, včetně Emsisoft a Zaznamenaná budoucnost. Více zpráv uvádí platební portál skupiny je také opět k dispozici, a Spící počítač potvrdil, že REvil útočí právě probíhají.
Exabeam hlavní bezpečnostní stratég Steve Moore uvedl, že vzhledem k tomu, že reaktivace částí infrastruktury společnosti REvil se jeví jako znak toho, že se operace opět vrací do provozu, je jen otázkou času, kdy dojde k dalšímu významnému útoku.
“Povzbuzuji organizace, aby o tom dvakrát přemýšlely,” řekl Baker. “Za prvé, nepochybně mají kompromitovaný svůj další dodavatelský řetězec softwaru.” Tato technika začala ve špionáži a nyní byla vypůjčena pro trestnou činnost. Tato kampaň ještě nezačala – ale velmi brzy bude.
“Na druhé straně by se obránci měli více soustředit na zmeškané vniknutí a špatné možnosti obnovy a méně na ransomware.” Ransomware je produktem neschopnosti detekovat a narušit cyklus kompromisu – tečka. “
Moore dodal: „REvil přímo potřeboval čas na seřízení, přestavbu a v létě si udělal trochu dovolené. Skutečnost, že jsou jejich stránky opět online, znamená, že jsou opět připraveni k podnikání a mají na mysli cíle. “
Talion ředitel bezpečnostních operací Chris Sedgwick dodal: „Skupiny hackerů mizí, když se věci zahřívají, to je něco, co jsme v minulosti často viděli, například s případy Emotet nebo Anonymous. Když skupiny zmizí, obvykle je to tak, že si koupíte nějaký čas a odstraníte od nich pozornost orgánů činných v trestním řízení, a to jen zřídka znamená, že mizí navždy.
“Za předpokladu, že se skutečně jedná o stejnou skupinu hrozeb, která provozuje infrastrukturu, bychom v blízké budoucnosti očekávali od této skupiny novou variantu ransomwaru, ale s mnohem pečlivěji vybranými oběťmi, které by od nich udržely pozornost médií a vlády jako co nejvíce. ”
Kromě Kaseyy stál za některými z nejúčinnějších útoků na ransomware za poslední dva roky gang REvil – také známý jako Sodinokibi – a jeho přidružené společnosti. Americká firma dodávající maso JBS, Tchajwanský výrobce počítačů Acer, newyorská advokátní kancelář se známými klienty včetně zpěváků Nicki Minaj a Mariah Carey, a poskytovatel směnárenských služeb Travelex, který nakonec zkrachoval jako nepřímý důsledek raného útoku REvil na konci roku 2019.
Předpokládá se, že toto úsilí přineslo těm za REvilem nejméně 100 milionů dolarů a možná i více.
I když za zjevným znovuzrozením REvilu stojí další vysvětlení, bezpečnostní týmy by měly tento čas využít k vyhodnocení svých postojů v oblasti kybernetické bezpečnosti a plánů reakce na ransomware. K dispozici jsou další pokyny k účinné ochraně před ransomwarem z britského Národního centra pro kybernetickou bezpečnost.