REvil: i governi dicono di voltare le carte in tavola contro la banda del ransomware spingendola offline

REvil: i governi dicono di voltare le carte in tavola contro la banda del ransomware spingendola offline

Il gruppo ransomware REvil è stato a sua volta violato e costretto offline questa settimana da un’operazione multinazionale, secondo tre esperti informatici del settore privato che lavorano con gli Stati Uniti e un ex funzionario.

Ex partner e soci della banda criminale guidata dai russi sono stati responsabili di un cyberattacco di maggio sulla Colonial Pipeline che ha portato a diffuse carenze di gas sulla costa orientale degli Stati Uniti. Tra le vittime dirette di REvil c’è il top player della carne JBS. Il sito web “Happy Blog” del gruppo criminale, che era stato utilizzato per far trapelare i dati delle vittime ed estorcere le aziende, non è più disponibile.

I funzionari hanno detto che l’attacco coloniale ha usato un software di crittografia chiamato DarkSide, che è stato sviluppato dagli associati REvil.

Il capo della strategia di cybersecurity di VMWare, Tom Kellermann, ha detto che le forze dell’ordine e l’intelligence hanno impedito al gruppo di vittimizzare altre aziende.

“L’FBI, in collaborazione con il Cyber Command, i Servizi Segreti e paesi simili, si sono veramente impegnati in azioni dirompenti significative contro questi gruppi”, ha detto Kellermann, un consulente dei Servizi Segreti degli Stati Uniti sulle indagini sui crimini informatici. “REvil era in cima alla lista”.

Una figura di leadership conosciuta come “0_neday”, che aveva contribuito a riavviare le operazioni del gruppo dopo un precedente arresto, ha detto che i server di REvil erano stati violati da una parte senza nome.

“Il server è stato compromesso, e mi stavano cercando”, ha scritto 0_neday su un forum di criminalità informatica lo scorso fine settimana e prima individuato dalla società di sicurezza Recorded Future. “Buona fortuna a tutti; me ne vado”.

I tentativi del governo degli Stati Uniti di fermare REvil, una delle peggiori delle decine di bande di ransomware che lavorano con gli hacker per penetrare e paralizzare le aziende di tutto il mondo, hanno accelerato dopo che il gruppo ha compromesso la società di gestione del software statunitense Kaseya a luglio.

Quella violazione ha aperto l’accesso a centinaia di clienti di Kaseya tutti in una volta, portando a numerose chiamate di emergenza di risposta agli incidenti informatici.

Chiave di decrittazione

Dopo l’attacco a Kaseya, l’FBI ha ottenuto una chiave di decrittazione universale che ha permesso alle persone infettate tramite Kaseya di recuperare i loro file senza pagare un riscatto.

Ma i funzionari delle forze dell’ordine hanno inizialmente trattenuto la chiave per settimane mentre perseguivano in silenzio lo staff di REvil, l’FBI ha poi riconosciuto.

Secondo tre persone che hanno familiarità con la questione, gli specialisti informatici delle forze dell’ordine e dell’intelligence sono stati in grado di violare l’infrastruttura di rete dei computer di REvil, ottenendo il controllo di almeno alcuni dei loro server.

Dopo che i siti web che il gruppo di hacker usava per condurre gli affari sono andati offline a luglio, il principale portavoce del gruppo, che si fa chiamare “Unknown”, è scomparso da internet.

Quando il membro della banda 0_neday e altri hanno ripristinato quei siti web da un backup il mese scorso, ha inconsapevolmente riavviato alcuni sistemi interni che erano già controllati dalle forze dell’ordine.
“La banda del ransomware REvil ha ripristinato l’infrastruttura dai backup sotto il presupposto che non erano stati compromessi”, ha detto Oleg Skulkin, vice capo del laboratorio forense presso la società di sicurezza a guida russa Group-IB. “Ironicamente, la tattica preferita della banda di compromettere i backup si è rivolta contro di loro”.

I backup affidabili sono una delle difese più importanti contro gli attacchi ransomware, ma devono essere tenuti scollegati dalle reti principali o anch’essi possono essere criptati da estorsori come REvil.

Un portavoce del Consiglio di Sicurezza Nazionale della Casa Bianca ha rifiutato di commentare l’operazione nello specifico.

“In generale, stiamo intraprendendo un intero sforzo governativo contro il ransomware, compresa la distruzione delle infrastrutture e degli attori del ransomware, lavorando con il settore privato per modernizzare le nostre difese, e costruendo una coalizione internazionale per ritenere responsabili i paesi che ospitano gli attori del ransom,” ha detto la persona.

L’FBI ha rifiutato di commentare.

Una persona familiare con gli eventi ha detto che un partner straniero del governo degli Stati Uniti ha effettuato l’operazione di hacking che ha penetrato l’architettura del computer di REvil. Un ex funzionario statunitense, che ha parlato a condizione di anonimato, ha detto che l’operazione è ancora attiva.

Il successo deriva da una determinazione del vice procuratore generale degli Stati Uniti Lisa Monaco che gli attacchi ransomware alle infrastrutture critiche dovrebbero essere trattati come un problema di sicurezza nazionale simile al terrorismo, ha detto Kellermann.

A giugno, il principale vice procuratore generale associato John Carlin ha detto a Reuters che il Dipartimento di Giustizia stava elevando le indagini sugli attacchi ransomware a una priorità simile.

Tali azioni hanno dato al Dipartimento di Giustizia e ad altre agenzie una base legale per ottenere aiuto dalle agenzie di intelligence degli Stati Uniti e dal Dipartimento della Difesa, ha detto Kellermann.

“Prima, non si poteva entrare in questi forum, e i militari non volevano averci niente a che fare. Da allora, i guanti sono stati tolti”.