Gang ransomware REvil zhakowany przez amerykańskie służby

22 października 2021, 15:38
security-g222727877_1280
Fot. geralt/Pixabay/Domena publiczna

Groźna grupa cyberprzestępcza REvil została zhakowana po tym, jak organy ścigania uzyskały dostęp do jej serwerów po ataku na firmę Kaseya - informuje Reuters.

Niedawno pisaliśmy o tym, że po wakacyjnej przerwie znana grupa hakerska REvil powróciła do dark webu. Jest o niej głośno, szczególnie z uwagi na ostatnie duże ataki na takie przedsiębiorstwa, jak Colonial Pipeline, JBS czy Kaseya, w efekcie czego wiele firm doznało paraliżu i poniosło duże straty.

Na skutek tego powzięto szereg działań, które miały mieć na celu wykrycie i kompromitację grupy. Sam Joe Biden zapowiadał odwet za cyberataki.

Grupa REvil zhakowana

Hakerzy prowadzą własną stronę internetową o nazwie "Happy Blog", na której publikują skradzione dane, dzięki czemu chcą wyłudzić pieniądze od firm. W ostatnich dniach została ona zablokowana - pisze Reuters.

Organy ścigania i wywiadu Stanów Zjednoczonych powstrzymały działalność grupy REvil, wykorzystując do tego inteligentne metody.

"FBI, we współpracy z Dowództwem Cybernetycznym, Tajnymi Służbami oraz państwami o podobnym sposobie myślenia, zaangażowało się w znaczące działania zakłócające funkcjonowanie tych grup" - powiedział Tom Kellermann, doradca amerykańskiej tajnej służby ds. dochodzeń związanych z cyberprzestępczością.

Skompromitowane serwery

"Serwer został skompromitowany i szukali mnie. Powodzenia wszystkim, ja już wychodzę" - napisał w ostatni weekend na forum cyberprzestępczym, lider grupy REvil znany jako "0-neday", dzięki czemu został zauważony przez Recorded Future, przedsiębiorstwo zajmujące się cyberbezpieczeństwem - pisze Reuters.

Okazuje się, że FBI uzyskało dostęp do grupy, dzięki zdobyciu uniwersalnego klucza deszyfrującego, który pomagał firmom odzyskać swoje pliki po ataku na firmę Kaseya. 

FBI przyznało jednak, że początkowo ukrywali klucz, aby w ukryciu ścigać hakerów należących do grupy REvil. Pojawiły się głosy na temat tego, że organy ścigania włamały się do infrastruktury sieci komputerowej gangu, uzyskując tym samym kontrolę nad częścią serwerów - informuje Reuters.

Strony internetowe grupy, które zniknęły w lipcu zostały przywrócone we wrześniu, dzięki wykorzystaniu kopii zapasowych. Doprowadziło to wówczas do nieświadomego uruchomienia tych serwerów, nad którymi zdążyły zyskać kontrolę służby wywiadowcze. 

Pokonani własną bronią

Okazuje się, że wykorzystano przeciwko hakerom ich własną broń, ponieważ kopie zapasowe stanowią główny sposób ochrony przed atakami typu ransomware, ale muszą być one odłączone od głównych sieci, aby cyberprzestępcy nie mieli do nich dostępu.

"Gang ransomware REvil przywrócił infrastrukturę z kopii zapasowych przy założeniu, że nie zostały one naruszone. Jak na ironię, ulubiona taktyka gangu, polegająca na kompromitowaniu kopii zapasowych, została obrócona przeciwko nim" -  powiedział Oleg Skulkin, z rosyjskiej firmy Group-IB, zajmującej się bezpieczeństwem. 

Rzecznik Rady Bezpieczeństwa Narodowego Białego Domu oraz samo FBI odmówili komentarza, jednak pojawiły się głosy na temat tego, że rząd podejmuje starania, aby ograniczyć działanie gangów ransomware i zwiększyć możliwość ochrony.


Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

imageFot. Reklama
KomentarzeLiczba komentarzy: 1
Kiks
sobota, 23 października 2021, 15:48

Padł blady strach. To kwestia czasu jak panowie wpadną w ręce odpowiednich służb. Choćby lata minęły.

Tweets CyberDefence24