Websites van ransomwarebende REvil offline

Een blog en een betaalsite van de ransomwarebende is volgens analisten van het net gehaald. De REvil-groep zou achter de grote Kaseya-aanvallen zitten die de voorbije weken honderden bedrijven neerhaalde.

Ransomware die via de Kaseya VSA beheersoftware werd verspreid, wist de afgelopen weken de computersystemen van honderden bedrijven te infecteren en versleutelen. REvil, de waarschijnlijk Russische ransomwarebende achter de aanval, vroeg daarop 70 miljoen dollar om een universele decryptietool publiek te maken.

Nu blijkt echter dat enkele sites die de groep gebruikt om te communiceren, van het web zijn gehaald. Het gaat om een blog en een site waarop je kan betalen, tot voor kort te vinden via het Tor-netwerk. Het is niet duidelijk waarom de sites verdwenen zijn, maar een actie van overheidsinstanties kan niet worden uitgesloten. Onder meer Amerikaans president Joe Biden heeft zich de afgelopen weken over cybermisdaad uitgesproken, en zou er in een telefoongesprek met Russisch president Poetin op hebben aangedrongen strenger op te treden tegen ransomware die uit het land komt.

Verbannen van darknetforum

Vladimir Kuskov, head of threat exploration bij Kaspersky: “Bronnen gerelateerd aan REvil, waaronder een blog met informatie over hun aanvallen, evenals betaalsites, gingen offline. Een vertegenwoordiger van deze groep werd ook verbannen van een populair darknetforum waar deelnemers aan deze criminele industrie met elkaar communiceren."

"Waarom de websites offline gingen is nog niet duidelijk, maar de omstandigheden doen vermoeden dat REvil zijn activiteiten zou kunnen stopzetten. Hiermee volgen ze hackersgroepen DarkSide, Avaddon, en Babuk die dit ook deden. Maar net als de andere groepen, die meer aandacht krijgen van de autoriteiten dan ze veilig achten - is het waarschijnlijk dat REvil hun activiteiten een tijdje zullen onderbreken om vervolgens onder hun huidige naam of met een nieuwe naam op de "markt" terug te keren."

In samenwerking met Data News