De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.
Happy Blog REvil
REvil is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. De groep is sinds 2019 actief en heeft sindsdien allerlei slachtoffers gemaakt en miljoenen euro’s verdiend met cyberaanvallen. Tot de slachtoffers behoren bedrijven als Travelex, Brown-Forman Corporation, Quanta Computer (Apple) en Acer. Dit jaar waren vleesproducent JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya het doelwit van de hackersgroep. Deze week was de Happy Blog, de website die de hackers gebruiken om gestolen data te publiceren en bedrijven te chanteren, niet langer toegankelijk. 0_neday, een prominent lid van het hackerscollectief, bevestigt dat het netwerk uit de lucht is gehaald.
Het is niet de eerste keer dat de hackers van het net verdwenen. Half juli was REvil ook ineens nergens meer te bekennen. De sites op het darkweb en het reguliere web waren spontaan op zwart gegaan. Ook de “helpdesk” was niet langer bereikbaar. Tot slot was 'Unknown', de woordvoerder van de hackersgroep, verbannen van het hackersforum XSS.
Half september liet de Russische hackersgroep weer van zich horen. De Tor-betalingssite was ineens weer online net als de Happy Blog. Slachtoffers konden weer inloggen om te onderhandelen over losgeld of geld over te maken op de rekening van de hackers. Tot slot vonden er nieuwe aanvallen met gijzelsoftware plaats, zo bevestigde REvil-woordvoerder Unknown.
Comeback van korte duur
De comeback van REvil was echter van korte duur. Cybersecurityexperts bevestigen dat de hackersgroep wederom uit de lucht is. Volgens hen zijn de hackers aangevallen door een internationale coalitie. Onder meer de FBI, het Cyber Command van het Amerikaanse ministerie van Defensie, de Amerikaanse geheime dienst en een aantal “eensgezinde mogendheden” zijn hiervoor verantwoordelijk, bevestigt Tom Kellermann van VMWare tegenover Reuters.
De aanval werd ingezet op het moment dat REvil haar infrastructuur opnieuw opstartte. De hackersgroep was zich niet bewust van het feit dat een aantal interne systemen die back-ups bevatten gecompromitteerd waren door Amerikaanse handhavingsinstanties. “Ironisch genoeg keerde de favoriete tactiek van de bende tegen hen”, zo vertelt Oleg Skulkin van securitybedrijf Group-IB.
De woordvoerder van het Witte Huis en de FBI weigerden te reageren op de kwestie. “Op hoofdlijnen zijn we bezig met een grote operatie op het gebied van ransomware, waaronder het verstoren van de infrastructuur en het opbouwen van een internationale coalitie om landen ter verantwoording te roepen die onderdak bieden aan hackers”, zo laat de Amerikaanse regering weten.
REvil-lid 0_neday bevestigt dat de servers van de groep het doelwit waren van een onbekende partij. Op een populair hackersforum schrijft hij dat de FBI en andere inlichtingendiensten naar hem op zoek zijn. Via het forum kondigt hij zijn vertrekt aan met de woorden “Good luck, everyone; I’m off”.
The Evolving Cyber Threat Landscape
DAG Monaco spreekt op Criminal Division Cybersecurity Roundtable: The Evolving Cyber Threat Landscape
Bron: justice.gov, reuters.com, vpngids.nl
REvil gerelateerde artikelen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Meer nieuws
Te mooi om waar te zijn 'gratis telefoon of Macbook bij Ziggo'
Het is te mooi om waar te zijn. En dus is het ook niet waar. Cybercriminelen proberen met lokkertjes als een Samsung Galaxy S10 telefoon, Apple Macbook Pro en iPad Pro de aandacht van Ziggo-klanten te krijgen.
'Paniek' op het Darkweb tijdelijk door actie politie diensten?
Autoriteiten in de Verenigde Staten en Europa hebben onlangs een grootschalige actie gehouden tegen online drugsmarkten, waarbij Wall Street Market en Valhalla, twee van de grootste drugsmarkten op het zogenaamde Darkweb, werden gesloten. Toch lijkt de wens om drugs te kopen online thuis en geld te verdienen met de verkoop van drugs op het Darkweb groter dan de angst om opgepakt te worden door de politie. Ondanks de politie acties in de afgelopen zes jaar die geleid hebben tot de sluiting van ongeveer zes markten, waaronder de meest recente twee, zijn er volgens DarknetLive nog steeds bijna 30 illegale markten en nieuws- en informatiesite online op het darkweb. Deze week konden klanten nog steeds vijf gram heroïne kopen - "Beste kwaliteit, geen mix" - voor 0,021 Bitcoin (ongeveer € 180), of een tiende van een gram crack-cocaïne voor 0,0017 Bitcoin (ongeveer € 14) op de markt bekend als Berlusconi .
Digitale veiligheid van hard- en software en IoT moet omhoog
De regering wil dat er volgend jaar in de hele Europese Unie minimale digitale veiligheidseisen voor Internet of Things-apparaten (IoT) van kracht worden. Ook moet het inkoopbeleid van de overheid rekening houden met de veiligheid van hard- en software en komt er een campagne over IoT-veiligheid.
Nieuwe truc met QR Code scanning
Update 18 juli 2019
Nederlanders en Belgen maken zich zorgen om digitale veiligheid
De Nederlandse veiligheidsindex van 2019 laat een stijging van zes punten zien, van 109 punten in 2018 naar 115 punten in 2019. Met name op het gebied van internetveiligheid zijn we ons meer zorgen gaan maken en een meerderheid van 54% vindt dat Nederlandse bedrijven onvoldoende maatregelen genomen hebben om hun persoonlijke data te beschermen, zelfs nadat de AVG vorig jaar van kracht werd.
Ontsleutel software nu beschikbaar voor Ransom GandCrab 5.2
Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen.