"Yeah baby" take down door politie diensten

Gepubliceerd op 22 oktober 2021 om 15:00

De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.

Happy Blog REvil

REvil is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. De groep is sinds 2019 actief en heeft sindsdien allerlei slachtoffers gemaakt en miljoenen euro’s verdiend met cyberaanvallen. Tot de slachtoffers behoren bedrijven als Travelex, Brown-Forman Corporation, Quanta Computer (Apple) en Acer. Dit jaar waren vleesproducent JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya het doelwit van de hackersgroep. Deze week was de Happy Blog, de website die de hackers gebruiken om gestolen data te publiceren en bedrijven te chanteren, niet langer toegankelijk. 0_neday, een prominent lid van het hackerscollectief, bevestigt dat het netwerk uit de lucht is gehaald.

Het is niet de eerste keer dat de hackers van het net verdwenen. Half juli was REvil ook ineens nergens meer te bekennen. De sites op het darkweb en het reguliere web waren spontaan op zwart gegaan. Ook de “helpdesk” was niet langer bereikbaar. Tot slot was 'Unknown', de woordvoerder van de hackersgroep, verbannen van het hackersforum XSS.

Half september liet de Russische hackersgroep weer van zich horen. De Tor-betalingssite was ineens weer online net als de Happy Blog. Slachtoffers konden weer inloggen om te onderhandelen over losgeld of geld over te maken op de rekening van de hackers. Tot slot vonden er nieuwe aanvallen met gijzelsoftware plaats, zo bevestigde REvil-woordvoerder Unknown.

Comeback van korte duur

De comeback van REvil was echter van korte duur. Cybersecurityexperts bevestigen dat de hackersgroep wederom uit de lucht is. Volgens hen zijn de hackers aangevallen door een internationale coalitie. Onder meer de FBI, het Cyber Command van het Amerikaanse ministerie van Defensie, de Amerikaanse geheime dienst en een aantal “eensgezinde mogendheden” zijn hiervoor verantwoordelijk, bevestigt Tom Kellermann van VMWare tegenover Reuters.

De aanval werd ingezet op het moment dat REvil haar infrastructuur opnieuw opstartte. De hackersgroep was zich niet bewust van het feit dat een aantal interne systemen die back-ups bevatten gecompromitteerd waren door Amerikaanse handhavingsinstanties. “Ironisch genoeg keerde de favoriete tactiek van de bende tegen hen”, zo vertelt Oleg Skulkin van securitybedrijf Group-IB.

De woordvoerder van het Witte Huis en de FBI weigerden te reageren op de kwestie. “Op hoofdlijnen zijn we bezig met een grote operatie op het gebied van ransomware, waaronder het verstoren van de infrastructuur en het opbouwen van een internationale coalitie om landen ter verantwoording te roepen die onderdak bieden aan hackers”, zo laat de Amerikaanse regering weten.

REvil-lid 0_neday bevestigt dat de servers van de groep het doelwit waren van een onbekende partij. Op een populair hackersforum schrijft hij dat de FBI en andere inlichtingendiensten naar hem op zoek zijn. Via het forum kondigt hij zijn vertrekt aan met de woorden “Good luck, everyone; I’m off”.

The Evolving Cyber ​​Threat Landscape

DAG Monaco spreekt op Criminal Division Cybersecurity Roundtable: The Evolving Cyber ​​Threat Landscape

EXCLUSIVE Governments Turn Tables On Ransomware Gang R Evil By Pushing It Offline
PDF – 7,5 MB 218 downloads

Bron: justice.gov, reuters.com, vpngids.nl

REvil gerelateerde artikelen 》

Actuele aanvallen overzicht per dag 》

 

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws

700 aangiften per week "In eerste vier maanden 2020 al meer dan geheel 2019"

De afgelopen maanden is het aantal meldingen en slachtoffers van 'hulpvraagoplichting' sterk toegenomen. Vooral sinds we sociale media als gevolg van de corona-lockdown veel intensiever gebruiken om met vrienden en familie in contact te blijven, slaan oplichters grootschalig toe. De Fraudehelpdesk heeft in de eerste vier maanden van 2020 al meer meldingen over hulpvraagoplichting ontvangen dan in heel 2019. Sinds het eind april mogelijk werd om online aangifte te doen van 'vriend-in-noodoplichting', is het aantal aangiften toegenomen van 300 naar 700 per week. Nederlandse banken hebben in de lockdown-maanden maart, april en mei van dit jaar ruwweg drie keer zoveel meldingen van oplichting via sociale media ontvangen als in de laatste drie maanden van 2019. In mei ontvingen de banken naar schatting zo’n 70 meldingen per dag.

Lees meer »

Politie betrekt Tweakers bij opsporing

Onder de naam ‘Blueweb’ start de politie vanaf 8 juni 2020 een samenwerking met het grootste technologieplatform van Nederland: Tweakers. ‘We vragen communityleden van technologieplatform Tweakers mee te denken in cybercrime-onderzoeken. Daarmee willen we misdrijven proberen op te lossen,’ zegt Franki Klarenbeek, coördinator van het Landelijk Team Opsporingscommunicatie van de politie.

Lees meer »

IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Lees meer »