Redactie - 19 oktober 2021

REvil-ransomwarebende staakt activiteiten na zelf gehackt te zijn

REvil-ransomwarebende staakt activiteiten na zelf gehackt te zijn image

De verspreiders van de REvil-ransomware stoppen (opnieuw) met hun operaties nu blijkt dat hun betaalportaal, server en site zelf zijn gehackt.

REvil kon zijn ransomware het afgelopen jaar bij verschillende grote bedrijven loslaten. Na de aanval op softwarebedrijf Kaseya deze zomer verdwenen de sites van de ransomwarebende al eens. Nu lijkt dat opnieuw te gebeuren, deze keer omdat de organisatie zelf slachtoffer werd.

Volgens Bleeping Computer laat 0_neday, een gebruiker geliëerd aan de bende, op een forum weten dat zowel het Tor-betaalportaal als hun blog werd gehackt en overgenomen door onbekenden. Later bevestigde die persoon ook dat de servers van de organisatie gecompromitteerd waren.

Sleutels gestolen

De omstandigheden zijn vaag, maar het lijkt er op dat iemand de private sleutels van de sites bemachtigde en zo dezelfde service opstartte op een andere server. 0_neday suggereert dat de dader zo probeerde de REvil-bende zelf te raken of op te sporen.

Het heeft er ondertussen veel van weg dat REvil ermee stopt, al is dat niet de eerste keer. Wel is er intussen heel wat werk verricht door ordediensten en securitybedrijven. Zo is er al een tijdje een decryptiesleutel voor REvil. Niets sluit uiteraard uit dat de daders onder een andere naam, eventueel met andere malware, op termijn hun activiteiten hervatten.

In samenwerking met Data News

Sophos 14/11/2024 t/m 28/11/2024 BN + BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!