Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

REvil, che fine ha fatto? Analizziamo quello che ad oggi sappiamo.

Redazione RHC : 23 Luglio 2021 15:03

Probabilmente, le autorità russe potrebbero essere state coinvolte in tutto questo.

Il gruppo di black hacker REvil, noto per una serie di attacchi di alto profilo, non mostra segni di vita da più di 2 settimane: i siti del gruppo sulla darknet hanno smesso di rispondere alle query di ricerca.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questo è successo poco dopo che il presidente degli Stati Uniti Joe Biden, in una conversazione telefonica con Vladimir Putin, si è lamentato degli attacchi informatici da parte di gruppi con sede in Russia.

Gli esperti di sicurezza informatica hanno notato per la prima volta la scomparsa del gruppo il 13 luglio, subito dopo il ban del portavoce del gruppo dal noto forum di hacker XSS.

“Tutti i siti di REvil non funzionano, compresi i siti in cui hanno discusso e ricevuto il riscatto”

ha scritto sul suo account Twitter lo specialista americano di sicurezza informatica Lawrence Abrams .

Come funzionavano?

Il gruppo è stato molto attivo ultimamente, specializzandosi nell’hacking di varie aziende con un’ulteriore richiesta di riscatto in cambio del rifiuto di pubblicare i documenti interni rubati. Se le vittime non volevano pagare, REvil dava seguito alla minaccia. La macabra ironia è che le informazioni rubate sono state pubblicate su un sito darknet chiamato “Happy Blog”.

In media, REvil ha effettuato più di 10 diversi attacchi informatici al mese. La cyber-gang, è stata responsabile di un attacco informatico coordinato contro quasi due dozzine di governi locali in Texas nel 2019.

Anche il partner di Apple Quanta Computer è stato recentemente tra le vittime degli black hacker. Nell’aprile di quest’anno, i criminali informatici sono entrati nelle reti dell’azienda e hanno rubato progetti dei futuri MacBook e altre apparecchiature Apple.

I malintenzionati hanno chiesto un riscatto di 50 milioni di dollari. In caso di mancato rispetto del pagamento, REvil ha promesso di unire più di una dozzina di diagrammi e disegni di componenti MacBook in accesso anonimo. Dopo un po’, i black hacker hanno rimosso tutti i riferimenti all’hack. Non è noto se abbiano ricevuto il riscatto.

Secondo l’FBI, il numero di crimini di alto profilo di REvil, includono un attacco alle filiali del più grande fornitore di carne del mondo JBS, che si trova negli Stati Uniti e in Australia. Di conseguenza, il lavoro delle fabbriche dell’azienda è stato paralizzato e JBS ha dovuto pagare agli hacker 11 milioni di dollari.

I riscatti di REvil

Gli attacchi a Apple e JBS sono diventati tra i più grandi nella storia effettuati dal gruppo. Prima di allora, gli aggressori sceglievano principalmente bersagli più piccoli e chiedevano un riscatto non così grande. Lo specialista di sicurezza informatica Mark Bleicher , che ha analizzato i 173 attacchi REvil, in una conversazione con CNBC ha affermato che l’importo medio del riscatto è stato di 728 mila dollari, e dopo le trattative a volte è sceso anche a 129 mila.

Le attività di REvil erano simili a un organizzazione aziendale, affermano gli esperti. Il gruppo disponeva di un proprio “servizio di supporto” per i “clienti” interessati, di team di specialisti di software e persino di una piattaforma Internet in cui venivano reclutati nuovi hacker (gli annunci di lavoro, tra l’altro, venivano pubblicati in russo).

REvil aveva anche la sua caratteristica. La pressione sulle vittime. Ad esempio, gli aggressori spesso scoprivano il numero di cellulare personale dell’amministratore delegato dell’azienda vittima e poi lo chiamavano regolarmente per ridere di lui e chiedere un riscatto.

L’ultima grande “operazione” di REvil è stata l’attacco alla società informatica americana Kaseya il 2 luglio. A seguito delle azioni dei criminali informatici, sono stati colpiti circa 1,5 mila clienti dell’azienda in sei paesi del mondo. I loro dati sono stati crittografati e gli hacker hanno chiesto un pagamento di 70 milioni per il software di decrittazione universale, cosa che poi successivamente, a seguito della chiusura di REvil, Kaseya è riuscita ad ottenere da una “terza parte”, non specificata.

Cosa è successo a REvil?

Gli esperti ritengono che dietro la scomparsa degli hacker possa esserci la volontà delle autorità russe, per le quali una tale “vittima” potrebbe diventare un passo avanti nella costruzione di nuove relazioni tra Russia e Stati Uniti.

In una riunione dei presidenti dei due Paesi il 16 giugno a Ginevra, Biden ha consegnato al suo omologo russo un elenco di 16 settori critici dell’economia per gli Stati Uniti, dove un attacco informatico sarebbe inaccettabile, seguito da una guerra cibernetica di rappresaglia. E in una recente conversazione telefonica Biden si è lamentato con Putin delle azioni degli hacker, presumibilmente legati alla Russia.

L’amministrazione Biden ammette che la scomparsa di REvil potrebbe essere collegata all’intervento del Cremlino, ma nemmeno le autorità statunitensi hanno dei dati precisi, almeno ora.

“Abbiamo notato che i black hacker di REvil si sono calmati. Ma non sappiamo perché. Tuttavia, continueremo a far pressione sulla Russia, chiedendo che agiscano contro i criminali informatici che si trovano sul loro territorio. Finora, non stiamo celebrando la vittoria sulla criminalità informatica”

Tuttavia, gli esperti di sicurezza informatica non escludono altre opzioni.

“Esistono due versioni: REvil ha deciso di sbarazzarsi della propria infrastruttura e, forse, dopo un po’ continuerà a funzionare, ma con un nome diverso e con un programma ransomware aggiornati. O la questione è nel funzionamento delle forze dell’ordine – forse russe, ma, forse, internazionali “

ha detto a MBH Media al Group-IB, che è impegnato nella prevenzione degli attacchi informatici e nelle indagini sui crimini ad alta tecnologia.

Di certo c’è da dire che questa faccenda oggi risulta più che confusa e che anche dietro alla cessione dell’universal decryptor a kaseya, c’è tutto da capire.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.