Grup ransomware REvil muncul kembali setelah jeda singkat

Tehdian.com ‘Blog Bahagia’ yang dijalankan oleh kelompok itu kembali pada hari Selasa. Operator di balik kelompok ransomware REvil telah muncul kembali setelah diduga menutup toko menyusul serangan luas di Kaseya yang menyebabkan ribuan korban pada 4 Juli.

Peneliti keamanan mengatakan semua situs web gelap untuk grup ransomware yang produktif — termasuk situs pembayaran, situs publik grup, obrolan ‘helpdesk’ dan portal negosiasi mereka — menjadi offline pada 13 Juli setelah serangan Kaseya menarik kecaman di seluruh dunia dan ancaman keras dari anggota parlemen AS

Grup ransomware REvil muncul kembali setelah jeda singkat

Presiden AS Joe Biden berbicara secara pribadi dengan Presiden Rusia Vladmir Putin setelah serangan itu, dan banyak yang mengaitkan penutupan REvil dengan percakapan itu, di mana Biden menekan Putin tentang serangan ransomware yang berasal dari tanah Rusia. 

Terlepas dari percakapan tersebut, baik otoritas AS dan pejabat Rusia membantah terlibat dalam hilangnya REvil pada bulan Juli.

Tetapi lusinan peneliti keamanan turun ke media sosial pada hari Selasa untuk menunjukkan bahwa Happy Blog grup dan situs lain yang terhubung dengan REvil telah muncul kembali. Bleeping Computer melaporkan bahwa entri terbaru berasal dari korban yang diserang pada 8 Juli. 

Peneliti keamanan dari Recorded Future dan Emsisoft mengkonfirmasi bahwa sebagian besar infrastruktur grup telah kembali online. 

Pakar Ransomware Allan Liska mengatakan kepada ZDNet bahwa kebanyakan orang mengharapkan REvil untuk kembali, tetapi dengan nama yang berbeda dan varian ransomware baru. 

“Hal-hal pasti menjadi panas bagi mereka untuk sementara waktu, jadi mereka perlu membiarkan penegakan hukum menjadi tenang. Masalahnya (bagi mereka), jika ini benar-benar kelompok yang sama, menggunakan infrastruktur yang sama, mereka tidak benar-benar membeli jarak. dari penegak hukum atau peneliti, yang akan menempatkan mereka kembali di garis bidik setiap kelompok penegak hukum di dunia (kecuali Rusia),” jelas Liska.

“Saya juga menambahkan bahwa saya telah memeriksa semua repositori kode biasa, seperti VirusTotal dan Malware Bazaar, dan saya belum melihat sampel baru yang diposting. Jadi, jika mereka meluncurkan serangan ransomware baru, belum ada banyak dari mereka.”

Grup ransomware REvil muncul kembali setelah jeda singkat
 

Sebuah laporan dari perusahaan keamanan BlackFog tentang serangan ransomware pada bulan Agustus menemukan bahwa REvil menyumbang lebih dari 23% dari serangan yang mereka lacak bulan lalu. Itu lebih dari kelompok lain yang dilacak dalam laporan. 

REvil menyerang setidaknya 360 organisasi yang berbasis di AS tahun ini,  menurut analis ancaman Emsisoft, Brett Callow . Situs penelitian RansomWhere mengatakan kelompok tersebut telah menghasilkan  lebih dari $11 juta tahun ini , dengan serangan profil tinggi pada Acer, JBS, Quanta Computer dan banyak lagi.  

REvil ditutup pada bulan Juli meninggalkan beberapa korban di tempat yang sulit . Mike Hamilton, mantan CISO of Seattle dan sekarang CISO dari perusahaan remediasi ransomware Critical Insight, mengatakan satu perusahaan membayar uang tebusan setelah serangan Kaseya dan menerima kunci dekripsi dari REvil tetapi ternyata tidak berfungsi. 

REvil biasanya menawarkan fungsi meja bantuan yang membantu korban mendapatkan kembali data mereka.

“Beberapa pelanggan kami turun dengan sangat mudah. ​​Jika Anda memasang agen itu di komputer yang tidak penting, Anda hanya membangunnya kembali dan hidup kembali. Tetapi kami mendapat telepon darurat beberapa hari yang lalu dari sebuah perusahaan yang terpukul keras karena mereka sebuah perusahaan yang mengelola banyak server mereka dengan Kaseya VSA. Mereka mendapat banyak server mereka yang terkena dan memiliki banyak informasi tentang mereka sehingga mereka membawa perusahaan asuransi mereka dan memutuskan untuk membayar uang tebusan,” kata Hamilton. 

“Mereka mendapatkan kunci dekripsi mereka dan ketika mereka mulai menggunakannya, mereka menemukan bahwa di beberapa tempat itu berhasil dan di tempat lain tidak. Geng ransomware ini memiliki dukungan pelanggan tetapi tiba-tiba mereka menjadi gelap. Mereka benar-benar hilang dan jadi tidak ada bantuan dan orang-orang ini hanya terjebak. Mereka pada akhirnya akan kehilangan banyak data dan pada akhirnya mereka akan menghabiskan banyak uang untuk membangun kembali jaringan mereka sepenuhnya dari awal.”

You May Also Like

About the Author: dnilan saputri