Nyligen försvann ransomware-gruppen REvil från nätet sedan deras Tor-noder hackats och tagits över av då okända. Nu kommer nya uppgifter som uppger att REvil hackades av amerikanska FBI i samarbete med Cyber Command och Secret Sdervice, I operationen ska även andra länder ha ingått.

REvil har tagit på sig ansvaret för att ha hackat Apples underleverantör Quanta, Colonial Pipline och leverantören Kaseya vilket ledde till att närmare 800 Coop-butiker tvingades att hålla stängt i flera dagar sedan deras IT.system havererat. Amerikanska Kaseya var leverantör till de svenska leverantörer som levererat tekniska lösningar till bland andra Coop.

Stor ransomware-attack mot amerikanska bolag

Återaktiverades

Efter en tids frånvaro från nätet så återaktiverades nyligen REVils hemsida och de servrar och noder som gruppen använt för sina system. Gruppen hade då varit borta från nätet sedan i juli i år. Det såg ut som att gruppen återupptagit verksamheten med att försöka att smitta med enskilda, organisationer och företag med ransomware och sedan pressa offren på pengar.

Signaturen 0_neday berättade för några dagar sedan, i ett digital forum, på The Dark Web att REvils servrar hackats och att de tagits över av okända.

”The server was compromised, and they were looking for me,” 0_neday wrote on a cybercrime forum last weekend and first spotted by security firm Recorded Future. ”Good luck, everyone; I’m off.”

Reuters

Hackats

I samband med attacken mot Kaseya så kom amerikanska FBI över en dekrypterings-nyckel, en huvudnyckel, som kunde användas för att låsa upp låsta och krypterade filer. Med den informationen som grund så inleddes jakten på medlemmar i REVil.  I samarbete med andra länders polis så har sedan de amerikanska polis- och säkerhetsorganisationerna samlat in information om REvil, kartlagt deras nät och sedan lyckats att hacka delar av systemet. När REVil återställde sina system, sina servrar och startade upp verksamheten igen med hjälp av säkerhetskopior så visste inte gruppen att de redan var hackade och att ingångarna in i deras system fanns i säkerhetskopiorna.

“The REvil ransomware gang restored the infrastructure from the backups under the assumption that they had not been compromised,” said Oleg Skulkin, deputy head of the forensics lab at the Russian-led security company Group-IB. “Ironically, the gang’s own favorite tactic of compromising the backups was turned against them.”

Reuters

För några dagar sedan ska sedan flera av REvils servrar ha tagits över av FBI, Cyber Command och Secret Service i samarbete med andra länders polis. Enligt uppgifter lämnade till Reuters, nyhetsbyrån, så ska själva intrånget och övertagandet av servrarna inte ha gjorts av FBI eller någon amerikansk organisation utan av en utländsk samarbetspartner.

DanishEnglishFinnishFrenchGermanLatinNorwegianSpanishSwedish