Grupa ransomware REvil - jeden z najgroźniejszych gangów ransomware
Zaledwie kilka dni po tym, jak prezydent Joe Biden zażądał, aby rosyjski prezydent Władimir Putin podjął działania przeciwko hakerom działającym na terenie Rosji, serwery jednej z najgroźniejszych grup, gangu ransomware REvil, w tajemniczy sposób zostały wyłączone. Od wtorku wszystkie strony należące do gangu ransomware REvil są niedostępne, jednak dotychczas nie udało się ustalić przyczyny tego stanu rzeczy. Eksperci spierają się, czy wynika to z rozbicia gangu ransomware, czy też cyberprzestępcy zrobili to celowo. W ostatnich tygodniach o gangu REvil było głośno z uwagi na spektakularne ataki ransomware na JBS i szwedzką sieć supermarketów Coop.
Po co gangom ransomware strony internetowe?
Zazwyczaj tego typu strony służą do kontaktu z cyberprzestępcami, za ich pomocą ofiary negocjują okup i dokonują płatności. Część gangów ransomware na swoich stronach publikuje wykradzione dane, aby zmusić zaatakowany podmiot do zapłaty okupu. Ostatnio gangi ransomware zaczęły również reklamować swoje usługi (zwłaszcza w modelu RaaS), a także otwarcie rekrutować nowych członków do swoich przestępczych organizacji. Dlaczego nagle strony gangu REvil stały się nieosiągalne? Jedną z rozważanych możliwości jest zamknięcie serwerów przez Stany Zjednoczone, jednak równie dobrze może stać za tym rosyjski rząd. Rządowa interwencja jest całkiem prawdopodobna, gdyż strony gangu stały się niedostępne zaledwie kilka dni po telefonie Joe Bidena do prezydenta Rosji, który zażądał, aby Rosja podjęła kroki wobec gangów ransomware atakujących amerykańskie firmy.
Czy to koniec gangu ransomware REvil?
Niestety w tym momencie możemy jedynie spekulować. Brak odpowiedzi DNS może wskazywać na zaangażowanie organów ścigania. Świadczyć może o tym także to, że przedstawiciele gangu ransomware od kilku dni przestali się udzielać na cyberprzestępczych forach.
Jednak to nie pierwszy raz, kiedy strona REvil na krótko przestała działać, taka przerwa miała również miejsce w zeszłym tygodniu. Być może gang zmienił swój adres URL, przeprowadza konserwację strony lub coś podobnego. Możliwie, że mamy do czynienia tylko z awarią spowodowaną tymczasowymi problemami technicznymi lub aktualizacjami.
Część ekspertów uważa, że gang postanowił zniknąć. Podobna sytuacja była w przypadku gangu ransomware Avaddon, który najprawdopodobniej zarobił wystarczająco dużo i postanowił nie kontynuować swojej przestępczej działalności.
Gangi ransomware to coraz poważniejsze zagrożenie dla firm
Niestety, nawet jeśli organy ścigania skutecznie zaatakują gang REvil, to nie oznacza końca grupy. Praktyka pokazuje, że członkowie zlikwidowanych gangów reaktywują swoją działalność pod inną nazwą lub dzielą się na mniejsze grupy, aby przyciągać mniej uwagi.
Tymczasem fale ataków ransomware nie ustają, problem dotyka coraz więcej organizacji niezależnie od ich skali działalności. W ostatnich dniach została zaatakowana znana marka odzieżowa Guess, na skutek ataku zostały skompromitowane dane osobowe i bankowe 1300 ofiar. Ten wyciek nastąpił po lutowym ataku ransomware na Guess (został on przypisany gangowi ransomware DarkSide).
Ochrona przed atakami ransomware powinna być priorytetem każdej organizacji. Jaki antywirus wybrać, aby skutecznie zabezpieczyć sieć przed ransomware? Sprawdź antywirus CylancePROTECT, który zatrzymał m.in. ransomware DarkSide, który sparaliżował Colonial Pipeline. Chcesz na własne oczy zobaczyć jak działa antywirus nowej generacji oparty na uczeniu maszynowym i AI? Zapisz się na nasz webinar.
