REvil ransomware si dissolve nel nulla. È il governo russo o una dipartita pianificata?

Redazione RHC : 15 Luglio 2021 05:47

La famigerata cyber-gang REvil, della quale abbiamo parlato molto sulle pagine di RedHotCyber, sembra aver deposto le armi, come molte altre nel passato.

Già nella giornata di ieri, avevamo riportato che il portavoce UNKNOWN del gruppo, era stato bannato dal famigerato forum di criminalità informatica XSS, anticipando una probabile fuoriuscita dalla scena, ed infatti così sembra essere.

Il gruppo di origine russa, accusato del massiccio attacco ransomware distribuito, che ha utilizzato come veicolo di infezione delle falle all’interno dell’infrastruttura di Kaseya, è andato offline martedì, scatenando speculazioni sul fatto che tale iniziativa sia stata il risultato di un’azione guidata dal governo.

La pagina “dark web” del gruppo, nota come “Happy Blog”, è scomparsa circa due settimane dopo l’attacco che ha paralizzato le reti di centinaia di aziende in tutto il mondo e ha provocato una richiesta di riscatto di 70 milioni di dollari.

“REvil è apparentemente svanito dal dark web, poiché il suo sito Web è andato offline”

ha twittato Allan Liska, un ricercatore di sicurezza della società Recorded Future, che ha notato che il sito non ha risposto dalle 0500 GMT circa.

La notizia arriva dopo che il presidente degli Stati Uniti Joe Biden ha effettuato una chiamata telefonica al suo omologo russo Vladimir Putin alla fine della scorsa settimana, dicendo di agire contro i criminali informatici residenti nei suoi confini, avvertendo che Washington potrebbe agire di fronte ai crescenti attacchi ransomware.

“Se si trattasse di un’operazione di disturbo di qualche tipo, i dettagli completi potrebbero non venire mai alla luce”.

ha detto Brett Callow della società di sicurezza Emsisoft e ha aggiunto:

“Non è chiaro se l’interruzione sia il risultato di un’azione intrapresa dalle forze dell’ordine. Se le forze dell’ordine sono riuscite a interrompere le operazioni della banda criminale, sarebbe ovviamente una buona cosa, ma potrebbe creare problemi a tutte le aziende i cui dati sono attualmente crittografati”.

James Lewis, capo della tecnologia e delle politiche pubbliche presso il Center for Strategic & International Studies di Washington, ha affermato che il sito potrebbe essere inattivo per una serie di motivi, tra cui la pressione delle autorità russe.

Alcuni analisti in passato hanno suggerito che il Cyber ​​Command dell’esercito americano ha la capacità di contrattaccare gli hacker di fronte alle minacce di sicurezza nazionale, ma non c’è stata alcuna notizia ufficiale su tale azione.

“La situazione si sta ancora sviluppando, ma le prove suggeriscono che REvil ha rimosso in modo pianificato la propria infrastruttura”

ha dichiarato John Hultquist di Mandiant Threat Intelligence aggiungendo:

“Se si trattasse di un’operazione di disturbo di qualche tipo, i dettagli completi potrebbero non venire mai alla luce”.

James Lewis, capo della tecnologia e delle politiche pubbliche presso il Center for Strategic & International Studies di Washington, ha affermato che il sito potrebbe essere inattivo per una serie di motivi, tra cui la pressione delle autorità russe.

Rimane quindi il dubbio di cosa li abbia spinti a retroagire.

È stato il governo russo oppure è soltanto un modo per sparire per un po’ di tempo per poi ricomparire sotto altro nome, come hanno fatto molte cyber-gang e gruppi APT del passato.

Chi si ricorda di Maze?

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.