Server REvil Didorong Offline oleh Pemerintah – Tetapi Mereka Akan Kembali, Kata Peneliti

Geng ransomware REvil tidak senang, dengan situs kebocoran Happy Blog dan situs pembayaran Tor didorong offline lagi, kali ini oleh pendobrak multi-negara.

Mengandalkan masukan dari tiga pakar cyber sektor swasta yang bekerja dengan AS dan satu mantan resmi, Reuters melaporkan pada hari Kamis bahwa geng ransomware-as-a-service (RaaS) telah diberi rasa obatnya sendiri: Secara khusus, “peretas” yang mengambil server REvil melakukannya dengan mengkompromikan cadangannya.

VMWare kepala strategi keamanan siber Tom Kellermann mengatakan kepada Reuters bahwa “peretas” itu sebenarnya adalah penegak hukum dan badan intelijen dari berbagai negara: “FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap mereka. kelompok,” Kellermann, penasihat US Secret Service pada investigasi kejahatan dunia maya, mengatakan. “REvil adalah daftar teratas.”

REvil Tidak Mundur Dari Cadangannya Sendiri

Menurut sumber Reuters, bulan lalu, operator REvil memulihkan operasi dari cadangan yang ternyata berada di bawah kendali pemerintah. Operator

REvil – termasuk pemimpin puncak yang disebut 0_neday – memulihkan situs web grup dari cadangan bulan lalu, tanpa menyadari bahwa penegak hukum mengendalikan beberapa sistem internal geng.

Reuters mengutip Oleg Skulkin, wakil kepala lab forensik di perusahaan keamanan yang dipimpin Rusia Group-IB : “Geng ransomware REvil memulihkan infrastruktur dari cadangan dengan asumsi bahwa mereka tidak dikompromikan. Ironisnya, taktik favorit geng itu sendiri untuk mengkompromikan cadangan ternyata melawan mereka.”

Ini ironis, mengingat pencadangan dipandang sebagai cara terbaik untuk melindungi organisasi dari serangan ransomware. Jika suatu entitas hanya dapat memulihkan sistem dari cadangan, mereka tidak perlu membayar untuk mendapatkan kunci dekripsi untuk mencairkan sistem mereka yang disita, demikian pemikirannya. Penyerang Ransomware tahu itu. Oleh karena itu, mereka membuat ilmu untuk menghancurkan cadangan untuk mencegah korban mereka mengabaikan serangan dan memulihkan operasi dari cadangan tersebut setelah serangan.

Ada rumor tentang REvil yang ditindas untuk sementara waktu: Minggu lalu, Flashpoint melaporkan bahwa pada 17 Oktober, operator REvil mengumumkan bahwa grup ransomware menutup kehadirannya di forum bahasa Rusia tingkat tinggi XSS setelah domain mereka “dibajak.”

Aktor ancaman menjelaskan bahwa orang tak dikenal telah menggunakan Tor pribadi kunci mantan juru bicara grup, “Tidak diketahui”, untuk mengakses domain REvil.

REvil Recap

Ini adalah kedua kalinya dalam beberapa bulan server REvil mengalami masalah. Pertama kali pada 13 Juli.

Setelah penutupan Juli 2021, operator REvil percaya bahwa Unknown telah menghilang. Beberapa percaya bahwa juru bicara telah meninggal.

Tapi kemudian, seseorang menggunakan kunci Tidak Dikenal. “Operasi REvil menyatakan bahwa domain REvil diakses menggunakan kunci Tidak Dikenal, membenarkan kekhawatiran mereka bahwa pihak ketiga memiliki cadangan dengan kunci layanan mereka,” menurut writeup Flashpoint.

‘Good Luck’

Selama akhir pekan, 0_neday memposting pesan di forum kejahatan dunia maya XSS, mengatakan bahwa domain REvil telah diakses dengan kunci Tidak Dikenal. Dalam pesan XSS yang ditangkap dan diposting ke Twitter oleh Dmitry Smilyanets dari The Record, 0_neday mengatakan mereka menyerah:

Server telah diretas, dan mereka sedang mencari saya. Mereka menghapus rute dinas rahasia saya dari file torrc dan menggantinya dengan milik mereka sendiri, menyebabkan saya pergi ke sana. Saya memeriksa ulang dengan orang lain, dan ini tidak terjadi. Semoga sukses untuk semua orang; Saya pergi sekarang.” —Postingan 0_neday ke forum XSS.
REvil memberikan pembaruan tambahan. Perwakilan REvil 0_neday menyatakan server mereka telah disusupi.

“Semoga beruntung semuanya, saya pergi” – 0_neday

Intel atas izin @ddd1ms pic.twitter.com/cKvev4uDu5

— vx-underground (@vxunderground) 17 Oktober 2021
n tobsp operator REvil menegaskan bahwa siapa pun yang telah membajak situs REvil juga telah menghapus akses 0_neday ke server admin tersembunyi geng. Flashpoint menunjukkan bahwa grup tersebut menawarkan komisi yang luar biasa tinggi sebesar 90 persen untuk menarik afiliasi.

Tidak mengherankan mendengar bahwa reboot REvil yang berulang kali akan merasa perlu untuk merayu afiliasi baru dengan pembayaran yang lebih tinggi. Pada bulan September, tersiar kabar bahwa REvil telah menipu afiliasinya sendiri dari pembayaran ransomware dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran uang tebusan. Sehari kemudian, afiliasi tersebut turun ke forum peretasan berbahasa Rusia, Exploit, untuk memperbarui tuntutan mereka agar REvil membayar bagian yang dicuri dari pembayaran tebusan.

Flashpoint mencatat bahwa pengguna XSS “umumnya tidak percaya” ketika REvil bergabung dengan RAMP forum. Pada 18 Oktober, moderator XSS menutup utas di mana REvil membuat penawaran untuk afiliasi baru dan menyarankan sesama pengguna untuk memblokir akun REvil.

Bawah tanah tidak diragukan lagi tidak terkejut dengan penghapusan REvil baru ini. Mereka menafsirkannya sebagai bukti bahwa kemunculan kembali geng pada bulan September adalah “bagian dari rencana FBI yang rumit untuk menangkap afiliasi REvil,” seperti yang dijelaskan Flashpoint oleh perwakilan LockBit tentang berita tersebut.

“Beberapa aktor ancaman setuju dengan perwakilan Lockbit dan menambahkan bahwa mereka percaya bahwa REvil akan muncul kembali dengan nama yang sama sekali baru, meninggalkan skandal baru-baru ini tanpa harus membayar afiliasi lama,” menurut writeup Flashpoint.

REvil’s Roly-Poly Road

Geng ransomware REvil terkenal – atau, lebih tepatnya , terkenal pada satu titik dan, sejak Juli, telah dibentuk kembali seperti gumpalan Silly-Putty. Aka Sodinokibi, daftar korban REvil telah memasukkan Kaseya dan banyak pelanggan penyedia layanan terkelola (MSP), pemasok daging global JBS Foods, dan bahkan, cukup berani, Apple.

Menurut sumber Reuters, itu juga bertanggung jawab atas serangan Colonial Pipeline. Pejabat yang tidak disebutkan namanya mengatakan kepada outlet tersebut bahwa perangkat lunak enkripsi DarkSide yang digunakan dalam serangan Kolonial sebenarnya dikembangkan oleh rekanan REvil, menangkal pelaporan selama berbulan-bulan tentang kelompok ransomware bernama DarkSide yang bertanggung jawab atas serangan tersebut.

Setelah servernya offline pada bulan Juli – penghilangan yang beberapa pengamat terkait dengan operator utamanya yang lepas landas untuk menghindari panas yang dihasilkan oleh serangan Kaseya – REvil mengangkat kepalanya lagi pada bulan September.

September adalah bulan yang cukup bagi REvil. Servernya kembali online; korban baru terdaftar di situsnya; pembayaran ransomware diduga dicadangkan dan mengalir; operator REvil baru menawarkan penjelasan untuk hiatus dua bulan geng; dan itu menceritakan sebuah kisah tentang bagaimana salah satu pembuat kode yang salah klik, menghasilkan, dan mengeluarkan decryptor universal untuk Kaseya.

Tapi bukan itu cara kerja bisnis ransomware. Bawah tanah mencemooh, menjuluki geng yang dilahirkan kembali sebagai kemungkinan beberapa antek REvil tingkat bawah yang biasa-biasa saja yang memeras nama untuk menarik penipuan keluar.

Pentingnya Koordinasi Multi-Negara

Steve Forbes, pakar keamanan siber pemerintah di Nominet, mencatat bahwa pentingnya pencopotan multi-negara seperti ini “sulit untuk dilebih-lebihkan” dalam pertempuran ransomware dan inilah cara yang harus dilakukan saat pertempuran itu berkecamuk.

“Ransomware semakin menjadi pusat perhatian tahun ini, karena telah mengganggu pasokan global rantai,” kata Forbes kepada Threatpost pada hari Jumat. “Meskipun tidak selalu menjadi metode serangan yang sangat canggih, itu mencapai ketenaran karena dampaknya di dunia nyata. Kombinasi analisis jaringan untuk mengidentifikasi tanda-tanda serangan ransomware, cadangan yang kuat untuk membantu pemulihan, dan penghapusan terkoordinasi lintas negara akan menjadi kunci untuk membendung aliran serangan ransomware yang sukses di masa depan.”

Mereka’ ll Be Back

Beberapa pakar mengatakan kepada Threatpost bahwa tidak seorang pun boleh berasumsi bahwa afiliasi REvil telah dinetralisir. Sebaliknya, mereka masih haus akan keuntungan dan kemungkinan besar akan kembali.

“Afiliasi REvil secara teratur menggunakan pemerasan ganda, ekstraksi data dari jaringan korban dengan ancaman pelepasan, untuk memaksa pembayaran,” Jake Williams, salah satu pendiri dan CTO di BreachQuest, mengatakan melalui email. “Afiliasi ini tetap sejalan dan tidak merilis data karena hal itu akan menghapus mereka dari pekerjaan di masa depan dengan kelompok inti, secara efektif sapi perah mereka.

“Karena pekerjaan dari REvil jelas mengering sekarang, afiliasi akan membutuhkan sumber pendapatan baru . Tidak mengherankan melihat [data] curian dijual di web gelap. Saya mengantisipasi bahwa beberapa organisasi yang percaya bahwa data mereka aman karena mereka membayar tebusan REvil berada dalam kebangkitan yang kasar.” Tim Peneliti Foton Digital Shadows

setuju. Dalam sebuah pernyataan yang dikirim ke Threatpost, analisnya mengatakan bahwa terlepas dari operasi penegakan hukum, “secara realistis mungkin bahwa afiliasi REvil yang tidak terluka akan kembali sebagai grup ransomware yang diganti namanya. Ini adalah taktik yang biasa digunakan oleh penjahat dunia maya yang tetap berniat melanjutkan operasi pemerasan ransomware.”

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: