Redazione RHC : 23 Luglio 2021 15:03
Probabilmente, le autorità russe potrebbero essere state coinvolte in tutto questo.
Il gruppo di black hacker REvil, noto per una serie di attacchi di alto profilo, non mostra segni di vita da più di 2 settimane: i siti del gruppo sulla darknet hanno smesso di rispondere alle query di ricerca.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Questo è successo poco dopo che il presidente degli Stati Uniti Joe Biden, in una conversazione telefonica con Vladimir Putin, si è lamentato degli attacchi informatici da parte di gruppi con sede in Russia.
Gli esperti di sicurezza informatica hanno notato per la prima volta la scomparsa del gruppo il 13 luglio, subito dopo il ban del portavoce del gruppo dal noto forum di hacker XSS.
“Tutti i siti di REvil non funzionano, compresi i siti in cui hanno discusso e ricevuto il riscatto”
ha scritto sul suo account Twitter lo specialista americano di sicurezza informatica Lawrence Abrams .
Il gruppo è stato molto attivo ultimamente, specializzandosi nell’hacking di varie aziende con un’ulteriore richiesta di riscatto in cambio del rifiuto di pubblicare i documenti interni rubati. Se le vittime non volevano pagare, REvil dava seguito alla minaccia. La macabra ironia è che le informazioni rubate sono state pubblicate su un sito darknet chiamato “Happy Blog”.
In media, REvil ha effettuato più di 10 diversi attacchi informatici al mese. La cyber-gang, è stata responsabile di un attacco informatico coordinato contro quasi due dozzine di governi locali in Texas nel 2019.
Anche il partner di Apple Quanta Computer è stato recentemente tra le vittime degli black hacker. Nell’aprile di quest’anno, i criminali informatici sono entrati nelle reti dell’azienda e hanno rubato progetti dei futuri MacBook e altre apparecchiature Apple.
I malintenzionati hanno chiesto un riscatto di 50 milioni di dollari. In caso di mancato rispetto del pagamento, REvil ha promesso di unire più di una dozzina di diagrammi e disegni di componenti MacBook in accesso anonimo. Dopo un po’, i black hacker hanno rimosso tutti i riferimenti all’hack. Non è noto se abbiano ricevuto il riscatto.
Secondo l’FBI, il numero di crimini di alto profilo di REvil, includono un attacco alle filiali del più grande fornitore di carne del mondo JBS, che si trova negli Stati Uniti e in Australia. Di conseguenza, il lavoro delle fabbriche dell’azienda è stato paralizzato e JBS ha dovuto pagare agli hacker 11 milioni di dollari.
Gli attacchi a Apple e JBS sono diventati tra i più grandi nella storia effettuati dal gruppo. Prima di allora, gli aggressori sceglievano principalmente bersagli più piccoli e chiedevano un riscatto non così grande. Lo specialista di sicurezza informatica Mark Bleicher , che ha analizzato i 173 attacchi REvil, in una conversazione con CNBC ha affermato che l’importo medio del riscatto è stato di 728 mila dollari, e dopo le trattative a volte è sceso anche a 129 mila.
Le attività di REvil erano simili a un organizzazione aziendale, affermano gli esperti. Il gruppo disponeva di un proprio “servizio di supporto” per i “clienti” interessati, di team di specialisti di software e persino di una piattaforma Internet in cui venivano reclutati nuovi hacker (gli annunci di lavoro, tra l’altro, venivano pubblicati in russo).
REvil aveva anche la sua caratteristica. La pressione sulle vittime. Ad esempio, gli aggressori spesso scoprivano il numero di cellulare personale dell’amministratore delegato dell’azienda vittima e poi lo chiamavano regolarmente per ridere di lui e chiedere un riscatto.
L’ultima grande “operazione” di REvil è stata l’attacco alla società informatica americana Kaseya il 2 luglio. A seguito delle azioni dei criminali informatici, sono stati colpiti circa 1,5 mila clienti dell’azienda in sei paesi del mondo. I loro dati sono stati crittografati e gli hacker hanno chiesto un pagamento di 70 milioni per il software di decrittazione universale, cosa che poi successivamente, a seguito della chiusura di REvil, Kaseya è riuscita ad ottenere da una “terza parte”, non specificata.
Gli esperti ritengono che dietro la scomparsa degli hacker possa esserci la volontà delle autorità russe, per le quali una tale “vittima” potrebbe diventare un passo avanti nella costruzione di nuove relazioni tra Russia e Stati Uniti.
In una riunione dei presidenti dei due Paesi il 16 giugno a Ginevra, Biden ha consegnato al suo omologo russo un elenco di 16 settori critici dell’economia per gli Stati Uniti, dove un attacco informatico sarebbe inaccettabile, seguito da una guerra cibernetica di rappresaglia. E in una recente conversazione telefonica Biden si è lamentato con Putin delle azioni degli hacker, presumibilmente legati alla Russia.
L’amministrazione Biden ammette che la scomparsa di REvil potrebbe essere collegata all’intervento del Cremlino, ma nemmeno le autorità statunitensi hanno dei dati precisi, almeno ora.
“Abbiamo notato che i black hacker di REvil si sono calmati. Ma non sappiamo perché. Tuttavia, continueremo a far pressione sulla Russia, chiedendo che agiscano contro i criminali informatici che si trovano sul loro territorio. Finora, non stiamo celebrando la vittoria sulla criminalità informatica”
Tuttavia, gli esperti di sicurezza informatica non escludono altre opzioni.
“Esistono due versioni: REvil ha deciso di sbarazzarsi della propria infrastruttura e, forse, dopo un po’ continuerà a funzionare, ma con un nome diverso e con un programma ransomware aggiornati. O la questione è nel funzionamento delle forze dell’ordine – forse russe, ma, forse, internazionali “
ha detto a MBH Media al Group-IB, che è impegnato nella prevenzione degli attacchi informatici e nelle indagini sui crimini ad alta tecnologia.
Di certo c’è da dire che questa faccenda oggi risulta più che confusa e che anche dietro alla cessione dell’universal decryptor a kaseya, c’è tutto da capire.
RedazioneIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
