Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.
Ransomware Evil (REvil)
Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil. REvil, is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. Ransomware is een andere benaming voor gijzelsoftware. Hackers gebruiken het programma om de toegang tot computersystemen te vergrendelen voor het eigen personeel. Tevens kunnen ze hiermee privacygevoelige en vertrouwelijke bedrijfs- en persoonsgegevens stelen, en belangrijke data achter slot en grendel plaatsen. Pas als het slachtoffer losgeld betaalt, krijgt hij de sleutel zodat hij weer bij zijn bestanden kan. Zo’n sleutel wordt ook een decryptor of decoderingssleutel genoemd.
REvil is sinds 2019 actief. De groep zou nauwe banden hebben met de Russische inlichtingendienst GRU. Veiligheidsambtenaren geven naar verluidt opdracht om specifieke doelwitten aan te vallen.
Door de jaren heen heeft REvil allerlei slachtoffers gemaakt, waaronder Travelex, Brown-Forman Corporation, Acer en Quanta Computer (Apple). Alleen dit jaar vielen vleesverwerker JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya ten prooi aan de Russische hackers.
Kaseya cyberaanval
De aanval op Kaseya zorgde wereldwijd voor een hoop ellende. REvil misbruikte een zero day exploit in de software Virtual System Administrator (VSA). Afnemers kunnen met dit programma computersystemen en servers van klanten op afstand beheren. Door deze kwetsbaarheid waren de hackers in staat om ongemerkt gijzelsoftware te installeren. Dat gebeurde bij zo’n 1.500 bedrijven en organisaties wereldwijd, waaronder enkele in Nederland.
Vlak na de aanval liet REvil van zich horen. Het hackerscollectief vroeg 70 miljoen dollar voor de decoderingssleutel. “Iedereen ka zich dan binnen een uur van de aanval herstellen”, zo beloofden de aanvallers. Het losgeld voor deze decryptor is nooit betaald. In plaats daarvan ontving Kaseya een universele decoderingssleutel van een onbekende partij. Daarmee kregen alle slachtoffers kosteloos de controle over hun systemen en bestanden terug.
REvil offline
Halverwege juli gebeurt er iets onverwachts: REvil lijkt van de aardbodem te zijn verdwenen. De websites op zowel het darkweb als het reguliere web gingen spontaan op zwart. De helpdesk was ook niet langer beschikbaar. En de hacker 'Unknown', die fungeert als de spreekbuis van de hackersgroep, was verbannen van hackersforum XSS.
Bedrijven die door REvil aangevallen waren zaten hierdoor ineens met een probleem. Ze konden niet langer inloggen op de sites van de hackers. Onderhandelen over of het betalen van losgeld was hierdoor onmogelijk. Voor deze slachtoffers is er nu een oplossing. Samen met ‘een betrouwbare wetshandhaver’ heeft cybersecuritybedrijf Bitdefender een universele decoderingssleutel ontwikkeld. Iedereen die vóór 13 juli is aangevallen door REvil, kan deze sleutel gebruiken om weer toegang te krijgen tot zijn data.
Waarom REvil uit het niets verdween, is nog altijd een mysterie. De verdwijningsact was echter van korte duur. Afgelopen week en deze week maakten leden van de groep nieuwe slachtoffers. Zodoende was het kristalhelder dat REvil terug van weggeweest is.
| Aanval | Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|---|
| 16-09-2021 | Spiezle Architectural Group Inc. | Sodinokibi (REvil) | spiezle.com | USA |
| 13-09-2021 | ohiograting.com | Sodinokibi (REvil) | ohiograting.com | USA |
| > 62 dagen offline < | ||||
| 10-07-2021 | ensingerplastics.com | Sodinokibi (REvil) | ensingerplastics.com | USA |
Universele decryptor
Bitdefender zegt dat het onderzoek naar de ransomware-aanvallen van REvil nog steeds loopt. Zodoende kan het cybersecuritybedrijf geen details geven of mededelingen doen over de kwestie. Om zoveel mogelijk slachtoffers zo snel mogelijk te helpen, besloot het bedrijf om de universele decryptor nu al vrij te geven. Op de website van Bitdefender kun je de universele decoderingssleutel gratis en voor niets downloaden.
Dat de sleutel voor iedereen beschikbaar is, is vanzelfsprekend goed nieuws. Toch waarschuwen medewerkers van Bitdefender ons om ook de komende tijd waakzaam te zijn. “We geloven dat er nieuwe REvil-aanvallen op komst zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online kwamen na een onderbreking van twee maanden. We dringen er bij organisaties op aan om zeer alert te zijn en de nodige voorzorgsmaatregelen te nemen”, aldus het cybersecuritybedrijf.
Bron: bitdefender.com, vpngids.nl
REvil gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
"Ik heb Darkweb Ransomware gebruikt om mijn baas te saboteren"
Eenvoudige, schaalbare en laag-risico ransomware zorgt voor een bijzonder nette cybercriminaliteit. Tegenwoordig hoeven potentiële aanvallers niet eens hun eigen ransomware te maken; ze kunnen het gewoon op het darkweb kopen. Drake Bennett, verslaggever van Bloomberg-onderzoeken, schafte wat malware aan om te zien hoe gemakkelijk het was om een aanval uit te voeren.
REvil cyberaanval treft advocatenkantoor Hollywoodsterren
Het Amerikaanse advocatenkantoor 'Grubman Shire Meiselas & Sacks' dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en tal van andere sterren vertegenwoordigt is afgeperst nadat aanvallers data van cliënten wisten te stelen en systemen versleutelden.
Ransomware kosten "verdubbelen" bij betaling aan cybercriminelen
Als een organisatie losgeld betaalt na een aanval met gijzelsoftware (ransomware), dan bedragen de herstelkosten gemiddeld 1,3 miljoen euro. Wordt er niet betaald, dan kost de aanval een bedrijf 'slechts' 675.000 euro. Dit blijkt uit een internationaal onderzoek van cybersecurity-specialist 'Sophos'.
Schade door ransomware bij it-dienstverlener tussen 50 tot 70 miljoen dollar
De Amerikaanse it-dienstverlener Cognizant die in april door de Maze-ransomware werd getroffen schat dat de schade door de aanval 50 tot 70 miljoen dollar zal bedragen. Dat liet het bedrijf bij de presentatie van de cijfers over het eerste kwartaal van dit jaar weten (zie hier onder). Waar de schade precies uit bestaat is nog niet bekendgemaakt. Mogelijk wordt dit in de cijfers over het tweede kwartaal vermeld.
LockBit-ransomware automatiseert zoektocht voor cybercriminelen
Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.