Operatørerne bag REvil ransomware-as-a-service (RaaS) er overraskende tilbage efter en to-måneders pause efter det meget omtalte angreb på teknologiudbyder Kaseya juli 4.
To af de mørke webportaler, herunder bandens Happy Blog datalækage site og dens betaling / forhandling site, er dukket op igen online efter det seneste offer den 8 juli, fem dage før de på mystisk vis gik ud af nettet juli 13. REvil er tilsyneladende tilbage i spillet med et nyt angreb – denne gang mod virksomheden Olympus. (Mere om dette i en anden artikel)
Udviklingen kommer lidt over to måneder efter et omfattende ransomware angreb rettet mod Kaseya, hvor den Rusland-baserede cyberkriminalitetsbande krypterede ca. 60 administrerede tjenesteudbydere (MSP’er) og over 1.500 downstream-virksomheder ved hjælp af en nul-dages sårbarhed i Kaseya VSA-fjernadministrationssoftwaren.
I slutningen af maj stod REvil også i spidssen for angrebet på verdens største kødproducent JBS, hvilket tvang virksomheden til at punge ud med 11 millioner dollars i løsesum til de kriminelle for at komme sig efter hændelsen.
Efter angrebene og øget international kontrol i kølvandet på den globale ransomware-krise tog gruppen sin mørke webinfrastruktur ned, hvilket førte til spekulationer om, at den midlertidigt havde indstillet driften eventuelt med det formål at re-brande under en ny identitet for at tiltrække mindre opmærksomhed.
REvil, også kendt som Sodinokibi, opstod som den femte mest almindeligt rapporterede ransomware-stammer i Q1/2021, der tegner sig for 4.60% af alle indsendelser i kvartalet, ifølge statistikker udarbejdet af Emsisoft.
Kilde: The Hacker News