Världens största ransomware-gäng försvann precis från internet

Foto av Jordan Harrison på Unsplash





Ett av de mest produktiva ransomware-gängen i världen försvann plötsligt från internet på tisdagsmorgonen. Den oförklarade utvandringen kommer bara en dag innan högre tjänstemän från Vita huset och Ryssland ska träffas för att diskutera den globala ransomware-krisen.

Ransomware-teamet känt som REvil har funnits i flera år i den blomstrande cyberbrottsligheten under jorden. En jättestor 42 % av alla senaste attacker mot ransomware spåra tillbaka till det här gänget, men de är kända för särskilt två hacks. Tidigare denna månad, gänget träffa minst 1 000 företag genom att attackera mjukvaruföretaget Kaseya. Det var en av de bredaste ransomware-kampanjerna som någonsin genomförts. Och förra månaden, REvil träffa köttleverantören JBS och krävde betalning på 11 miljoner dollar. Även när världsledare riktade sin uppmärksamhet mot ransomware och hotade åtgärder, var REvil trotsig – tills nu.

Det är lite rörigt när vi kämpar för att ta reda på vad som händer, säger Allan Liska, senior hotanalytiker på säkerhetsföretaget Recorded Future. Vi är försiktigt optimistiska att ett av de största gängen där ute är gjort.



Det finns några möjliga förklaringar till vad som orsakade dagens avstängning. För det första kan gänget själva ha valt att gå i pension om de har tjänat tillräckligt med pengar eller känt för mycket press. USA eller dess allierade kan framgångsrikt ha tagit dem offline. Eller så kan den ryska regeringen, under internationell granskning, ha tvingat dem att stänga ner. Deras försvinnande kan också vara tillfälligt – många cyberkriminella låtsas 'gå i pension' innan de så småningom dyker upp igen under nya identiteter.

Vi rekommenderar att du inte drar några omedelbara slutsatser eftersom det är tidigt, men REvil är verkligen ett av de mest hänsynslösa och kreativa ransomware-gängen vi någonsin sett, säger Ekram Ahmed, talesperson på Check Point Software.

Svaret är oklart och det bredare problemet med ransomware är fortfarande stort.



Jag vet inte vad detta betyder, men oavsett så är jag nöjd! twittrade Katie Nickels, underrättelsechef på det amerikanska företaget Red Canary. Om det är en statlig nedtagning - fantastiskt, de vidtar åtgärder. Om skådespelarna frivilligt tystnade - utmärkt, kanske de är rädda. Det är fortfarande viktigt att komma ihåg att detta inte löser ransomware.

Varför ransomware-krisen plötsligt känns så obeveklig

Attacker på stora företag och kritisk infrastruktur har orsakat panik i USA, men rötterna till problemet går flera år tillbaka i tiden.

Alla webbplatser som används av REvil-gänget, inklusive där gruppen publicerar stulen data, är nu offline. Ännu viktigare är dock att all infrastruktur och datorer som gänget använder för att utföra attacker gick offline runt klockan 08:00 Moskva-tid på tisdagsmorgonen, förklarar Liska. Gruppens talesperson har också varit inaktiv i nästan en vecka.



Ransomware-sajter drivs av skottsäker värd och de är fläckiga, de går alla upp och ner, säger Liska. Men de går aldrig alla upp och ner på exakt samma gång.

REvil är en rysktalande grupp, skadlig programvara de skriver undviker ryska datorer, och de är kopplade till andra grupper som tros vara inne i Ryssland. Efter denna månads massiva attack sa Vita husets pressekreterare Jen Psaki: Om den ryska regeringen inte kan eller vill vidta åtgärder mot kriminella aktörer i Ryssland, kommer vi att vidta åtgärder eller förbehålla oss rätten.

Med morgondagens toppmöte mellan USA och Ryssland planerat att fokusera på ransomware, ser det ut som att samtalet kan bli annorlunda än vad som ursprungligen förväntades.



Timingen är fascinerande. Det är precis efter Kaseya-attacken och precis innan morgondagens toppmöte, säger Liska. 'De genomförde precis den största ransomware-attacken i historien. Att gå från det höga till att stängas av, jag tror att det inte är en slump.

Dölj