Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.
Ransomware Evil (REvil)
Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil. REvil, is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. Ransomware is een andere benaming voor gijzelsoftware. Hackers gebruiken het programma om de toegang tot computersystemen te vergrendelen voor het eigen personeel. Tevens kunnen ze hiermee privacygevoelige en vertrouwelijke bedrijfs- en persoonsgegevens stelen, en belangrijke data achter slot en grendel plaatsen. Pas als het slachtoffer losgeld betaalt, krijgt hij de sleutel zodat hij weer bij zijn bestanden kan. Zo’n sleutel wordt ook een decryptor of decoderingssleutel genoemd.
REvil is sinds 2019 actief. De groep zou nauwe banden hebben met de Russische inlichtingendienst GRU. Veiligheidsambtenaren geven naar verluidt opdracht om specifieke doelwitten aan te vallen.
Door de jaren heen heeft REvil allerlei slachtoffers gemaakt, waaronder Travelex, Brown-Forman Corporation, Acer en Quanta Computer (Apple). Alleen dit jaar vielen vleesverwerker JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya ten prooi aan de Russische hackers.
Kaseya cyberaanval
De aanval op Kaseya zorgde wereldwijd voor een hoop ellende. REvil misbruikte een zero day exploit in de software Virtual System Administrator (VSA). Afnemers kunnen met dit programma computersystemen en servers van klanten op afstand beheren. Door deze kwetsbaarheid waren de hackers in staat om ongemerkt gijzelsoftware te installeren. Dat gebeurde bij zo’n 1.500 bedrijven en organisaties wereldwijd, waaronder enkele in Nederland.
Vlak na de aanval liet REvil van zich horen. Het hackerscollectief vroeg 70 miljoen dollar voor de decoderingssleutel. “Iedereen ka zich dan binnen een uur van de aanval herstellen”, zo beloofden de aanvallers. Het losgeld voor deze decryptor is nooit betaald. In plaats daarvan ontving Kaseya een universele decoderingssleutel van een onbekende partij. Daarmee kregen alle slachtoffers kosteloos de controle over hun systemen en bestanden terug.
REvil offline
Halverwege juli gebeurt er iets onverwachts: REvil lijkt van de aardbodem te zijn verdwenen. De websites op zowel het darkweb als het reguliere web gingen spontaan op zwart. De helpdesk was ook niet langer beschikbaar. En de hacker 'Unknown', die fungeert als de spreekbuis van de hackersgroep, was verbannen van hackersforum XSS.
Bedrijven die door REvil aangevallen waren zaten hierdoor ineens met een probleem. Ze konden niet langer inloggen op de sites van de hackers. Onderhandelen over of het betalen van losgeld was hierdoor onmogelijk. Voor deze slachtoffers is er nu een oplossing. Samen met ‘een betrouwbare wetshandhaver’ heeft cybersecuritybedrijf Bitdefender een universele decoderingssleutel ontwikkeld. Iedereen die vóór 13 juli is aangevallen door REvil, kan deze sleutel gebruiken om weer toegang te krijgen tot zijn data.
Waarom REvil uit het niets verdween, is nog altijd een mysterie. De verdwijningsact was echter van korte duur. Afgelopen week en deze week maakten leden van de groep nieuwe slachtoffers. Zodoende was het kristalhelder dat REvil terug van weggeweest is.
Aanval | Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|---|
16-09-2021 | Spiezle Architectural Group Inc. | Sodinokibi (REvil) | spiezle.com | USA |
13-09-2021 | ohiograting.com | Sodinokibi (REvil) | ohiograting.com | USA |
> 62 dagen offline < | ||||
10-07-2021 | ensingerplastics.com | Sodinokibi (REvil) | ensingerplastics.com | USA |
Universele decryptor
Bitdefender zegt dat het onderzoek naar de ransomware-aanvallen van REvil nog steeds loopt. Zodoende kan het cybersecuritybedrijf geen details geven of mededelingen doen over de kwestie. Om zoveel mogelijk slachtoffers zo snel mogelijk te helpen, besloot het bedrijf om de universele decryptor nu al vrij te geven. Op de website van Bitdefender kun je de universele decoderingssleutel gratis en voor niets downloaden.
Dat de sleutel voor iedereen beschikbaar is, is vanzelfsprekend goed nieuws. Toch waarschuwen medewerkers van Bitdefender ons om ook de komende tijd waakzaam te zijn. “We geloven dat er nieuwe REvil-aanvallen op komst zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online kwamen na een onderbreking van twee maanden. We dringen er bij organisaties op aan om zeer alert te zijn en de nodige voorzorgsmaatregelen te nemen”, aldus het cybersecuritybedrijf.
Bron: bitdefender.com, vpngids.nl
REvil gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
'Ransomware' is volwassen geworden en is 32 jaar
Als u de wereld van cybersecurity (informatiebeveiliging) een beetje volgt, hebt u de afgelopen jaren vast een hoop over ransomware (gijzelsoftware) gehoord. U kunt zelfs de pech hebben gehad dat u slachtoffer bent geweest van een ransomware aanval. Het is waarschijnlijk niet overdreven om ransomware als de gevaarlijkste malware van onze tijd te betitelen.
"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt"
Ruim een week nadat Microsoft de 'mitigatietool met één muisklik' heeft uitgebracht om cyberaanvallen op lokale Exchange-servers te beperken maakte het bedrijf bekend dat de patches reeds zijn uitgevoerd op 92% van alle internet-gerichte servers die zijn getroffen door de 'ProxyLogon-kwetsbaarheden'.
Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld
Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd.
Losgeld: "Het besluit dat we hebben genomen gaat in tegen al onze principes, het voelt heel slecht"
Het 'Staring College' is deze week getroffen door een grote ransomware-aanval. De middelbare school, met vestigingen in Lochem en Borculo, heeft na wikken en wegen besloten om losgeld te betalen aan de aanvallers. Dat was enige manier om er zeker van te zijn dat het onderwijs geen gevaar liep.
Twee derde van organisatie kreeg te maken met ransomware in 2020
Uit onderzoek van Proofpoint blijkt dat ransomware-aanvallen een enorm groot probleem zijn. Zo geeft 66 procent van respondenten aan het slachtoffer te zijn geweest van ransomware.
Piek in cyberaanvallen op zorgsector in Europa
Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.