De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.
Happy Blog REvil
REvil is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. De groep is sinds 2019 actief en heeft sindsdien allerlei slachtoffers gemaakt en miljoenen euro’s verdiend met cyberaanvallen. Tot de slachtoffers behoren bedrijven als Travelex, Brown-Forman Corporation, Quanta Computer (Apple) en Acer. Dit jaar waren vleesproducent JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya het doelwit van de hackersgroep. Deze week was de Happy Blog, de website die de hackers gebruiken om gestolen data te publiceren en bedrijven te chanteren, niet langer toegankelijk. 0_neday, een prominent lid van het hackerscollectief, bevestigt dat het netwerk uit de lucht is gehaald.
Het is niet de eerste keer dat de hackers van het net verdwenen. Half juli was REvil ook ineens nergens meer te bekennen. De sites op het darkweb en het reguliere web waren spontaan op zwart gegaan. Ook de “helpdesk” was niet langer bereikbaar. Tot slot was 'Unknown', de woordvoerder van de hackersgroep, verbannen van het hackersforum XSS.
Half september liet de Russische hackersgroep weer van zich horen. De Tor-betalingssite was ineens weer online net als de Happy Blog. Slachtoffers konden weer inloggen om te onderhandelen over losgeld of geld over te maken op de rekening van de hackers. Tot slot vonden er nieuwe aanvallen met gijzelsoftware plaats, zo bevestigde REvil-woordvoerder Unknown.
Comeback van korte duur
De comeback van REvil was echter van korte duur. Cybersecurityexperts bevestigen dat de hackersgroep wederom uit de lucht is. Volgens hen zijn de hackers aangevallen door een internationale coalitie. Onder meer de FBI, het Cyber Command van het Amerikaanse ministerie van Defensie, de Amerikaanse geheime dienst en een aantal “eensgezinde mogendheden” zijn hiervoor verantwoordelijk, bevestigt Tom Kellermann van VMWare tegenover Reuters.
De aanval werd ingezet op het moment dat REvil haar infrastructuur opnieuw opstartte. De hackersgroep was zich niet bewust van het feit dat een aantal interne systemen die back-ups bevatten gecompromitteerd waren door Amerikaanse handhavingsinstanties. “Ironisch genoeg keerde de favoriete tactiek van de bende tegen hen”, zo vertelt Oleg Skulkin van securitybedrijf Group-IB.
De woordvoerder van het Witte Huis en de FBI weigerden te reageren op de kwestie. “Op hoofdlijnen zijn we bezig met een grote operatie op het gebied van ransomware, waaronder het verstoren van de infrastructuur en het opbouwen van een internationale coalitie om landen ter verantwoording te roepen die onderdak bieden aan hackers”, zo laat de Amerikaanse regering weten.
REvil-lid 0_neday bevestigt dat de servers van de groep het doelwit waren van een onbekende partij. Op een populair hackersforum schrijft hij dat de FBI en andere inlichtingendiensten naar hem op zoek zijn. Via het forum kondigt hij zijn vertrekt aan met de woorden “Good luck, everyone; I’m off”.
The Evolving Cyber Threat Landscape
DAG Monaco spreekt op Criminal Division Cybersecurity Roundtable: The Evolving Cyber Threat Landscape
Bron: justice.gov, reuters.com, vpngids.nl
REvil gerelateerde artikelen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Meer nieuws
Phishing, nepshop en fraude meldingen week 41-2021
Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.
Hij ontsnapte aan de grootste politie actie op het Darkweb - Deel 3: 'Het AlphaGuard systeem'
'DeSnake' is blijkbaar ontsnapt aan de 'take down' van AlphaBay door de opsporingsdiensten. De beheerder sprak met WIRED over zijn terugkeer - en de wederopstanding van de beruchte ondergrondse marktplaats. In deze 4-delige reeks nemen we je me in het donkere brein van 'deSnake'. Elke zaterdag, 4 weken lang op Cybercrimeinfo.nl.
"Vijftig procent van de ondervraagden gebruiken een zelfde wachtwoord voor alle online accounts"
Tweederde van de consumenten gebruikt tenminste drie devices om in te loggen op hun online accounts. Een kwart gebruikt daarvoor ook een device van hun werk. Dat is niet opmerkelijk, maar in het kader van cybersecurity wel een punt van aandacht. Veel mensen blijken namelijk nog altijd slechte wachtwoorden te gebruiken of hun inloggegevens te delen. Ook is het beveiligen van hun mobiele telefoons nog niet vanzelfsprekend.
Bijna alle bedrijven die de cloud gebruiken ervaren datalekken
Zowat alle bedrijven (98%) hebben de afgelopen 18 maanden een datalek gehad. Tweederde had zelfs drie of meer van deze incidenten. Dit blijkt uit een onderzoek van Ermetic, een cloud infrastructuur beveiligingsplatform.
17 jarige phisher aangehouden die woningzoekende in de val lokte
Op 12 oktober 2021 heeft de politie een 17-jarige jongen uit Amsterdam aangehouden op verdenking van phishing. De verdachte deed zich onder andere voor als WoningNet en heeft zo in de afgelopen maanden vermoedelijk tientallen slachtoffers in heel Nederland opgelicht voor tot dusver bekend minimaal 20.000 euro. De aanhouding kwam mede door een nauwe samenwerking met verschillende banken tot stand.
Kopers van DDoS-aanval krijgen waarschuwing van cybercrimeteam
Maandag 11 oktober verstuurde de politie een brief naar 29 mensen die in verband worden gebracht met de aankoop van een DDoS-aanval. De brief geldt als laatste waarschuwing. Eerder werden in dit onderzoek al 2 doorzoekingen gedaan. Het onderzoek gaat nog verder.