Zephyrnet-logo

Rusland haalt REvil Ransomware-operatie neer, arresteert belangrijke leden

Datum:

De Russische Federale Veiligheidsdienst (FSB) heeft op verzoek van de Amerikaanse regering leden van de productieve REvil ransomware-groep gearresteerd in een belangrijke ontwikkeling die met enige scepsis wordt ontvangen, gezien de timing in het midden van het brouwen van geopolitieke spanningen tussen de twee naties.

In een verklaring zei de FSB dat het 14 leden van de REvil-bende had vastgehouden en 25 adressen had doorzocht die met hen waren geassocieerd in een operatie die resulteerde in de inbeslagname van tal van activa van de groep. Dit omvatte het equivalent van ongeveer $ 6.8 miljoen in verschillende valuta's, waaronder cryptocurrency; 20 premium voertuigen; computerapparatuur; en cryptocurrency-portefeuilles die de REvil-groep bij haar activiteiten gebruikte.

Deze ontwikkeling komt te midden van nieuws over een reeks cyberaanvallen in Oekraïne vandaag waarbij websites van verschillende overheidsinstanties, waaronder het ministerie van Onderwijs en het ministerie van Buitenlandse Zaken van het land. Het is nog onduidelijk of in Rusland gevestigde agenten achter de aanvallen zitten, hoewel velen hen als mogelijke verdachten hebben aangemerkt.

De FSB beschreef haar onderzoek als een complexe en gecoördineerde inspanning die ertoe leidde dat de REvil-operatie werd neergehaald en de criminele infrastructuur werd geneutraliseerd. Het onderzoek en de verwijdering werden gestart in opdracht van de Amerikaanse autoriteiten, die de leider van REvil bij de FSB identificeerden en gedetailleerde informatie verstrekten over de ransomware-activiteiten van de bende gericht op buitenlandse entiteiten, de FSB zei:. De Amerikaanse autoriteiten hebben alle details van de operatie gekregen, voegde het eraan toe.

De verwijdering van REvil, althans zoals beschreven door de Russische autoriteiten, is significant omdat Rusland historisch heeft ontkend georganiseerde ransomware-groepen te herbergen en geen actie tegen hen heeft ondernomen, ondanks Amerikaanse verzoeken. Tijdens een bijeenkomst afgelopen juni zei president Biden waarschuwde Rusland dat de kritieke infrastructuur van de VS niet toegankelijk was voor hackers en drong er bij de Russische president Vladimir Poetin op aan om op te treden tegen ransomware en andere cybercriminele groepen die vanuit het land werken.

Aanvalsactiviteit van REvil, ook bekend als Sodinokibi, dook in 2020 op en bood malware onder een ransomware-as-service-model aan andere dreigingsgroepen. De ransomware is gebruikt bij verschillende aanvallen op grote organisaties, maar geen enkele is zo verontrustend als één tegen JBS-voedingsmiddelen afgelopen mei veroorzaakte dat grote verstoringen in de vleesverwerking en -levering in de Verenigde Staten en Australië. Een ander incident dat wijdverbreide bezorgdheid veroorzaakte, was de aanval van juni 2021 op Kaseja, waarbij ransomware werd ingezet op systemen van duizenden klanten van managed services providers.

In november kondigde het Amerikaanse ministerie van Justitie aan dat $ 10 miljoen beloning voor informatie die leidt tot de identificatie of locatie van belangrijke personen in de REvil-groep en $ 5 miljoen voor informatie die leidt tot de arrestatie en veroordeling van een gelieerde onderneming.

Scepsis over ware motieven
Verschillende veiligheidsexperts verwelkomden vrijdag de actie van de FSB en beschreven het als een algemene goede zaak.

Er is echter enige scepsis over de ware motieven achter deze actie, aangezien deze te midden van toenemende spanningen tussen de VS en Rusland komt over de bezorgdheid dat laatstgenoemde zich voorbereidt om Oekraïne binnen te vallen. Gesprekken tussen de twee landen om de situatie in Oekraïne te de-escaleren hebben tot dusverre nergens toe geleid en er is een groeiende bezorgdheid dat het conflict in de regio kan leiden tot een grote verstoring van de Amerikaans-Russische betrekkingen.

"Het uitschakelen van REvil komt Rusland goed van pas tijdens de onderhandelingen met de Verenigde Staten en helpt om de gunst te krijgen van westerse landen die zich waarschijnlijk zullen mengen in het conflict met Oekraïne", zegt Josh Lospinoso, CEO en mede-oprichter van Shift5 en stichtend lid van Amerikaans cybercommando. "Deze openbare vertoning geeft Rusland ook een aannemelijke ontkenning [dat] REvil verantwoordelijk was voor de JBS-cyberaanval, waarbij ze $ 11 miljoen aan losgeld ontvingen."

Door REvil neer te halen, geeft Rusland de boodschap af dat ze de aanval van cyberaanvallen op kritieke infrastructuur serieus nemen. Ransomware-groepen, met name die welke direct of indirect samenwerken met het regime van Poetin, hebben echter een geschiedenis van terugveren, zegt Lospinoso. Het is vrij waarschijnlijk dat een andere groep zal ontstaan ​​om REvil te vervangen, zei hij.

Kevin Breen, directeur van onderzoek naar cyberdreigingen bij Immersive Labs, zegt dat de huidige geopolitieke situatie het moeilijk maakt om erachter te komen wat voor soort boodschap Rusland verzendt met de verwijdering van de REvil-operatie. Alleen de tijd kan uitwijzen of de operatie wijst op een langdurige bereidheid van de Russische autoriteiten om samen te werken op het gebied van cyberbeveiliging. 

"Voortdurende samenwerking met internationale autoriteiten om cyberaanvallen vanuit Russisch grondgebied te ontwrichten en af ​​te schrikken, zou een signaal zijn dat de regering van plan is aan te dringen op verandering op de lange termijn", zegt Breen.

Op het eerste gezicht geeft de verwijdering van REvil door de FSB in ieder geval aan dat Rusland bereid is te reageren op informatie van de Amerikaanse autoriteiten en die van de geallieerde naties. Chatter op ondergrondse forums die Trustwave gecontroleerd afgelopen november toonde op zijn minst enige mate van bezorgdheid onder in Rusland gevestigde dreigingsactoren over de rechtshandhaving in het land die hen opspoort. Volgens de beveiligingsleverancier bespraken sommige forumleden zelfs de mogelijkheid dat ze gepakt zouden worden en hoe ze zich daarop konden voorbereiden, evenals eventuele zinnen die daarop zouden kunnen volgen. De REvil-groep zelf heeft de afgelopen maanden zijn activiteiten stopgezet vanwege verhoogde aandacht van de politie voor zijn activiteiten.

Silas Cutler, bedreigingsanalist bij Stairwell, zegt dat de REvil-arrestaties een poging van Rusland kunnen zijn om de schijn van werken aan de bestrijding van ransomware en andere bedreigingsgroepen die buiten het land opereren hoog te houden. Maar tot nu toe lijkt de actie weinig te hebben gedaan om in ieder geval enkele cybercriminelen af ​​te schrikken.

"Leden van cybercriminaliteitsforums hebben snel commentaar geleverd en grappen gemaakt dat de gearresteerde mensen onwaarschijnlijk belangrijke leden van deze groepen zijn en waarschijnlijk gelieerde leden van laag tot gemiddeld niveau die de juiste autoriteiten niet hebben betaald voor bescherming", zegt Cutler. "In de afgelopen jaren zijn sommige ransomware-families specifiek ontworpen om geen invloed te hebben op systemen met Russische taalartefacten, waardoor hun operaties waarschijnlijk alleen gericht blijven op internationale doelen, om de Russische wetten niet te schenden."

Bron: https://www.darkreading.com/threat-intelligence/russia-takes-down-revil-ransomware-operation-arrests-key-members

spot_img

Laatste intelligentie

spot_img