Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.
Ransomware Evil (REvil)
Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil. REvil, is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. Ransomware is een andere benaming voor gijzelsoftware. Hackers gebruiken het programma om de toegang tot computersystemen te vergrendelen voor het eigen personeel. Tevens kunnen ze hiermee privacygevoelige en vertrouwelijke bedrijfs- en persoonsgegevens stelen, en belangrijke data achter slot en grendel plaatsen. Pas als het slachtoffer losgeld betaalt, krijgt hij de sleutel zodat hij weer bij zijn bestanden kan. Zo’n sleutel wordt ook een decryptor of decoderingssleutel genoemd.
REvil is sinds 2019 actief. De groep zou nauwe banden hebben met de Russische inlichtingendienst GRU. Veiligheidsambtenaren geven naar verluidt opdracht om specifieke doelwitten aan te vallen.
Door de jaren heen heeft REvil allerlei slachtoffers gemaakt, waaronder Travelex, Brown-Forman Corporation, Acer en Quanta Computer (Apple). Alleen dit jaar vielen vleesverwerker JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya ten prooi aan de Russische hackers.
Kaseya cyberaanval
De aanval op Kaseya zorgde wereldwijd voor een hoop ellende. REvil misbruikte een zero day exploit in de software Virtual System Administrator (VSA). Afnemers kunnen met dit programma computersystemen en servers van klanten op afstand beheren. Door deze kwetsbaarheid waren de hackers in staat om ongemerkt gijzelsoftware te installeren. Dat gebeurde bij zo’n 1.500 bedrijven en organisaties wereldwijd, waaronder enkele in Nederland.
Vlak na de aanval liet REvil van zich horen. Het hackerscollectief vroeg 70 miljoen dollar voor de decoderingssleutel. “Iedereen ka zich dan binnen een uur van de aanval herstellen”, zo beloofden de aanvallers. Het losgeld voor deze decryptor is nooit betaald. In plaats daarvan ontving Kaseya een universele decoderingssleutel van een onbekende partij. Daarmee kregen alle slachtoffers kosteloos de controle over hun systemen en bestanden terug.
REvil offline
Halverwege juli gebeurt er iets onverwachts: REvil lijkt van de aardbodem te zijn verdwenen. De websites op zowel het darkweb als het reguliere web gingen spontaan op zwart. De helpdesk was ook niet langer beschikbaar. En de hacker 'Unknown', die fungeert als de spreekbuis van de hackersgroep, was verbannen van hackersforum XSS.
Bedrijven die door REvil aangevallen waren zaten hierdoor ineens met een probleem. Ze konden niet langer inloggen op de sites van de hackers. Onderhandelen over of het betalen van losgeld was hierdoor onmogelijk. Voor deze slachtoffers is er nu een oplossing. Samen met ‘een betrouwbare wetshandhaver’ heeft cybersecuritybedrijf Bitdefender een universele decoderingssleutel ontwikkeld. Iedereen die vóór 13 juli is aangevallen door REvil, kan deze sleutel gebruiken om weer toegang te krijgen tot zijn data.
Waarom REvil uit het niets verdween, is nog altijd een mysterie. De verdwijningsact was echter van korte duur. Afgelopen week en deze week maakten leden van de groep nieuwe slachtoffers. Zodoende was het kristalhelder dat REvil terug van weggeweest is.
Aanval | Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|---|
16-09-2021 | Spiezle Architectural Group Inc. | Sodinokibi (REvil) | spiezle.com | USA |
13-09-2021 | ohiograting.com | Sodinokibi (REvil) | ohiograting.com | USA |
> 62 dagen offline < | ||||
10-07-2021 | ensingerplastics.com | Sodinokibi (REvil) | ensingerplastics.com | USA |
Universele decryptor
Bitdefender zegt dat het onderzoek naar de ransomware-aanvallen van REvil nog steeds loopt. Zodoende kan het cybersecuritybedrijf geen details geven of mededelingen doen over de kwestie. Om zoveel mogelijk slachtoffers zo snel mogelijk te helpen, besloot het bedrijf om de universele decryptor nu al vrij te geven. Op de website van Bitdefender kun je de universele decoderingssleutel gratis en voor niets downloaden.
Dat de sleutel voor iedereen beschikbaar is, is vanzelfsprekend goed nieuws. Toch waarschuwen medewerkers van Bitdefender ons om ook de komende tijd waakzaam te zijn. “We geloven dat er nieuwe REvil-aanvallen op komst zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online kwamen na een onderbreking van twee maanden. We dringen er bij organisaties op aan om zeer alert te zijn en de nodige voorzorgsmaatregelen te nemen”, aldus het cybersecuritybedrijf.
Bron: bitdefender.com, vpngids.nl
REvil gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
57 miljoen euro schade door Ransomware aanval
Het Noorse aluminium bedrijf 'Hydro' die op 19 maart door ransomware werd getroffen is door het incident in de eerste helft van dit jaar een bedrag van tussen de 57 en 67 miljoen euro verloren. Dat heeft het bedrijf bij de publicatie van de cijfers over het tweede kwartaal bekendgemaakt.
Asco: "De schade loopt in de miljoenen euro's"
Het bedrijf kan na de cyberaanval met ransomware vanaf maandag weer ongeveer op volle toeren draaien.
Ontsleutel software nu beschikbaar voor Ransom GandCrab 5.2
Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen.
Luchtvaartbedrijf ASCO Zaventem getroffen door Ransomware, 1.000 medewerkers tijdelijk werkeloos
ASCO Zaventem, dat vliegtuigonderdelen maakt voor onder meer Boeing en Airbus, is gehackt. De productie ligt zeker stil tot woensdagavond, meer dan duizend werknemers kunnen daardoor niet aan de slag. Ook andere vestigingen van het bedrijf zijn getroffen. “De autoriteiten zijn ingelicht en hebben ICT-professionals aangesteld om het incident verder te onderzoeken”, aldus het bedrijf.
Microsoft herhaalt advies: update Windows 7 en XP omwille van gijzelsoftware
Microsoft drukt gebruikers van Windows 7 en XP op het hart om hun systemen te updaten. Een beveiligingslek dat een nieuwe situatie zoals met WannaCry kan creëren, is gedicht, maar naar schatting zijn een miljoen systemen nog vatbaar voor de worm.
Alles is weg: autogarage is slachtoffer van gijzelsoftware (ransomware)
Goed ziek is ondernemer Peter Schoolderman uit Zutphen ervan. De computers van zijn autobedrijf zijn aangevallen door cybercriminelen. Van klantgegevens en facturen tot de agenda en vakanties van zijn personeel: alles wat er op zijn computers staat is versleuteld en dus onzichtbaar. (Ransomware)