De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.
Happy Blog REvil
REvil is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. De groep is sinds 2019 actief en heeft sindsdien allerlei slachtoffers gemaakt en miljoenen euro’s verdiend met cyberaanvallen. Tot de slachtoffers behoren bedrijven als Travelex, Brown-Forman Corporation, Quanta Computer (Apple) en Acer. Dit jaar waren vleesproducent JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya het doelwit van de hackersgroep. Deze week was de Happy Blog, de website die de hackers gebruiken om gestolen data te publiceren en bedrijven te chanteren, niet langer toegankelijk. 0_neday, een prominent lid van het hackerscollectief, bevestigt dat het netwerk uit de lucht is gehaald.
Het is niet de eerste keer dat de hackers van het net verdwenen. Half juli was REvil ook ineens nergens meer te bekennen. De sites op het darkweb en het reguliere web waren spontaan op zwart gegaan. Ook de “helpdesk” was niet langer bereikbaar. Tot slot was 'Unknown', de woordvoerder van de hackersgroep, verbannen van het hackersforum XSS.
Half september liet de Russische hackersgroep weer van zich horen. De Tor-betalingssite was ineens weer online net als de Happy Blog. Slachtoffers konden weer inloggen om te onderhandelen over losgeld of geld over te maken op de rekening van de hackers. Tot slot vonden er nieuwe aanvallen met gijzelsoftware plaats, zo bevestigde REvil-woordvoerder Unknown.
Comeback van korte duur
De comeback van REvil was echter van korte duur. Cybersecurityexperts bevestigen dat de hackersgroep wederom uit de lucht is. Volgens hen zijn de hackers aangevallen door een internationale coalitie. Onder meer de FBI, het Cyber Command van het Amerikaanse ministerie van Defensie, de Amerikaanse geheime dienst en een aantal “eensgezinde mogendheden” zijn hiervoor verantwoordelijk, bevestigt Tom Kellermann van VMWare tegenover Reuters.
De aanval werd ingezet op het moment dat REvil haar infrastructuur opnieuw opstartte. De hackersgroep was zich niet bewust van het feit dat een aantal interne systemen die back-ups bevatten gecompromitteerd waren door Amerikaanse handhavingsinstanties. “Ironisch genoeg keerde de favoriete tactiek van de bende tegen hen”, zo vertelt Oleg Skulkin van securitybedrijf Group-IB.
De woordvoerder van het Witte Huis en de FBI weigerden te reageren op de kwestie. “Op hoofdlijnen zijn we bezig met een grote operatie op het gebied van ransomware, waaronder het verstoren van de infrastructuur en het opbouwen van een internationale coalitie om landen ter verantwoording te roepen die onderdak bieden aan hackers”, zo laat de Amerikaanse regering weten.
REvil-lid 0_neday bevestigt dat de servers van de groep het doelwit waren van een onbekende partij. Op een populair hackersforum schrijft hij dat de FBI en andere inlichtingendiensten naar hem op zoek zijn. Via het forum kondigt hij zijn vertrekt aan met de woorden “Good luck, everyone; I’m off”.
The Evolving Cyber Threat Landscape
DAG Monaco spreekt op Criminal Division Cybersecurity Roundtable: The Evolving Cyber Threat Landscape
Bron: justice.gov, reuters.com, vpngids.nl
REvil gerelateerde artikelen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Meer nieuws
Supply chain domino, $280 miljoen DeFi diefstal en AI als cyberwapen
De gevolgen van supply chain aanvallen worden steeds groter. Het AI platform Mercor verliest 4 terabyte aan data nadat een kwaadaardig Python pakket duizenden bedrijven trof. Starbucks ziet 10 gigabyte aan firmware en broncode lekken. En zelfs Anthropic lekt per ongeluk de broncode van hun AI tool Claude Code via een fout op NPM. Ondertussen stelen hackers gelinkt aan Noord-Korea $280 miljoen van een DeFi platform, geeft ShinyHunters Cisco een ultieme deadline, en maakt AI het voor criminelen mogelijk om ook kleine organisaties te targeten met business email compromise. In Nederland debatteert de Tweede Kamer over nazorgplicht voor datalekslachtoffers, terwijl in Belgie een stad zich vrijwillig laat hacken voor televisie.
Drie NL datalekken, Noord-Korea hackt Axios en AI vindt kwetsbaarheden
Op een dag melden drie Nederlandse organisaties een datalek, van vakantiegangers tot voetbalsupporters en gemeentebestanden. Noord-Koreaanse hackers blijken achter de aanval op het populaire JavaScript pakket Axios te zitten dat wekelijks 100 miljoen keer wordt gedownload. Ondertussen zetten criminelen gekaapte computers in als anonimiseringsnetwerk en misbruiken ze vertrouwde Windows tools om antivirussoftware uit te schakelen. En AI modellen ontdekken actief onbekende kwetsbaarheden in veelgebruikte software, wat fundamentele vragen oproept over de toekomst van beveiligingsonderzoek.
TeamPCP vergiftigt alles, Telegram zero-day en FBI gehackt
De supply chain campagne van TeamPCP breidt zich razendsnel uit en heeft inmiddels vijf grote softwareprojecten vergiftigd in anderhalve week. Een kritieke zero-day in Telegram maakt het mogelijk om apparaten over te nemen door simpelweg een sticker te ontvangen. De Iraanse hackersgroep Handala hackte de persoonlijke e-mail van de directeur van de FBI Kash Patel, en de Europese Commissie bevestigde een inbraak waarbij honderden gigabytes aan data zijn buitgemaakt.
NB411: Ajax gehackt, ministerie onder vuur en supply chain aanvallen escaleren
Deze week werd duidelijk hoe breed het dreigingslandschap inmiddels reikt. Bij Ajax werden de gegevens van 300.000 fans buitgemaakt en konden seizoenkaarten worden overgenomen, terwijl het Ministerie van Financiën een cyberaanval op beleidssystemen bevestigde. De groep TeamPCP escaleerde hun campagne door achtereenvolgens de Trivy vulnerability scanner en het LiteLLM pakket te compromitteren, waarmee miljoenen ontwikkelaars werden geraakt. Vier grote botnets met samen 3 miljoen geïnfecteerde apparaten werden ontmanteld door het Amerikaanse ministerie van Justitie. De DarkSword exploitkit voor iPhones verscheen openbaar op GitHub en voice phishing steeg naar de op een na grootste aanvalsvector. Dichter bij huis verloor een verkoper uit Nijkerk ruim 12.000 euro na een neplink via Marktplaats, de politie zoekt de verdachte. Lees alle details in de vier artikelen van deze week.
Verkoper verliest 12.000 euro na Marktplaats hack
Een 47-jarige man uit Nijkerk werd in september 2025 slachtoffer van een geraffineerde hack via Marktplaats. Een oplichter deed zich voor als geïnteresseerde koper, stuurde een neplink voor een zogenaamde ophaalservice en plunderde vervolgens de bankrekening van het slachtoffer. In totaal werd ruim 12.000 euro gestolen. De politie zoekt de man die met de gestolen bankgegevens pinde in Dordrecht.
Ajax gehackt, politie doelwit en iPhone exploits op straat
Nederland werd deze week hard geraakt. Bij AFC Ajax kregen aanvallers toegang tot gegevens van meer dan 300.000 fans, konden 42.000 seizoenkaarten stelen of deactiveren en stadionverboden inzien of opheffen. De politie meldde zelf getroffen te zijn door een phishingaanval. Ondertussen liggen exploits voor iPhones openbaar op GitHub en escaleren aanvallen op de software supply chain in hoog tempo.