In een gezamenlijke operatie hebben de Amerikaanse FBI en drie internationale IT-beveiligingsbedrijven de Russische hackersgroep REvil offline gehaald. De hackers waren onder andere verantwoordelijk voor de grote ransomware-aanval op Kaseya afgelopen zomer.
De website Happy Blog, waarop de hackersgroep REvil gestolen data van zijn slachtoffers publiceerde, is na de tegenaanval niet meer bereikbaar. Een van de bekende hackers van de groep, genaamd ‘O neday’ heeft op een cybercrime-forum laten weten dat hij is ondergedoken. Gijzelsoftware-aanvallen zijn in de VS op hetzelfde niveau geplaats als terrorisme, waardoor de opsporingsdiensten meer bevoegdheden hebben gekregen, ook om samen te werken met buitenlandse IT-beveiligingsbedrijven. Welk bedrijf de hack in de REvil-bende voor elkaar heeft gekregen, is niet bekendgemaakt.
Vanwege de aanval op het beheersoftwarebedrijf Kaseya afgelopen juli werden wereldwijd honderden, waaronder ook Nederlandse bedrijven bedreigd. Onder andere de Zweedse supermarkt Coop moest zijn deuren sluiten, nadat de kassa’s niet meer werkten. Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) probeerden samen met Kaseya de lekken in de software te dichten, maar de Russische bende bleek hen net voor te zijn geweest. Andere bekende gijzelsoftware-aanvallen waren gericht tegen Apple, het Amerikaanse energiebedrijf Colonial Pipelines en het internationale vleesverwerkingsbedrijf JBS, waardoor in sommige landen problemen in de toelevering ontstonden.
Beveiligingssleutel
Hackersgroep REvil (Ransomware Evil) eiste een losgeld van 70 miljoen dollar van bedrijven die na de hack op softwarebedrijf Kaseya werden geïnfecteerd. Samen met IT-bedrijf BitDefender lukte het de FBI echter om de universele beveiligingssleutel te bemachtigen, waardoor de aangevallen bedrijven hun bestanden terug konden krijgen zonder losgeld te betalen. Bovendien wist de opsporingsdienst samen met cybersecurity-experts uit verschillende landen servers van de REvil-groep te hacken, waarna de bende de servers offline haalde en van de radar verdween.
Ironie
Toen vorige maand leden van de hackersgroep probeerden hun websites weer op te starten, deden zij dat vanuit een back-up, waarvan onderdelen inmiddels gekraakt waren. Op die manier liepen de hackers in hun eigen val. “De REvil-bende startte zijn infrastructuur op vanaf hun back-ups vanuit de gedachte dat die veilig waren”, zegt Oleg Skulkin van het Russische IT-beveiligingsbedrijf Group-IB tegen persbureau Reuters. “Ironisch genoeg heeft de manier waarop de bende graag zijn slachtoffers maakt, zich tegen henzelf gekeerd.”
Betrouwbare back-ups zijn een van de beste beveiligingsmaatregelen tegen gijzelsoftware, naast het bijhouden van kritieke updates. Maar dan moet die back-up wel zijn losgekoppeld van het bedrijfsnetwerk, anders raakt die alsnog geïnfecteerd.
RaaS
Ook al heeft hackersgroep REvil nu een tik gekregen, het wordt alom betwijfeld of dit het einde van de groep is, omdat niemand weet wie er precies achter zit. De bende werkt veel met individuele ‘onderaannemers’ die de gijzelsoftware ontwikkelen en distribueren, en plaatst gijzelsoftware op bestelling. Hun ‘dienst’ wordt dan ook Ransomware-as-a-Service genoemd, als tegenhanger van het bekende Software-as-a-Service.
