REvil er tilbage

REvil ransomware-gruppen er tilbage og får igen nye ofre på samvittigheden.

Rygternes om REvils død er stærkt overdrevne. Det må være konstateringen, efter at gruppen atter angriber og publicerer stjålne filer. Det skriver Bleeping Computer i længere artikel, hvor der med henvisning til gruppens nedlukning tidligere på året gøres rede for, at den tilsyneladende er tilbage i fuld vigør.

REvil forsvandt ellers fra overfladen i midten af juli efter et massivt angreb, der udnyttede en sårbarhed i Kaseyas VSA-styringsplatform. Det var det angreb, der medførte en endagslukning af Coop-butikker i Sverige. Det var også Revil, der stod bag angrebet på slagterigruppen JBS i USA, der med vanlig sans for drama fik medier verden over til at melde om trusler mod grillsæsonen.

Pres fra omverdenen

Der har været spekuleret i, om et internationalt pres efter de store hackerangreb mod fødevaresektoren fik gruppen til at trække følehornene til sig og bl.a. udlevere en dekrypteringsnøgle til Kaseya, som kunne anvendes til at retablere adgangen til filerne.

Der har også været spekuleret i, om gruppen ville vende tilbage under et nyt navn, som andre grupper har gjort det. Men ifølge Bleeping Computers kilder er REvil tilsyneladende tilbage under samme navn – hvilket har kunnet ses, ved at gruppens betalingsplatform og lækagested er tilbage på Tor-netværket. Samtidig er der offentliggjort nye data fra forskellige ofre, som blev indsamlet den 4. september.

Endelig er der også dukket en chatsamtale mellem en researcher og en repræsentant for REvil op, der hævder, at gruppen ikke lukkede ned, blot tog en pause.

Så REvil er tilsyneladende tilbage.

Links:

https://www.bleepingcomputer.com/news/security/revil-ransomware-is-back-in-full-attack-mode-and-leaking-data/

https://cert.dk/da/news/2021-02-06/Hackerangreb-truer-grillsaesonen