Kaseya-hackers REvil onverwacht totaal uit de lucht

REvil is verantwoordelijk voor de grote hack eerder deze maand via de software van Kaseya, waarbij zeker 1.500 organisaties wereldwijd zijn getroffen. Volgens BleepingComputer is de volledige infrastructuur van REvil op mysterieuze wijze verdwenen. Alle websites, zowel op het dark web als daarbuiten, zijn niet meer te benaderen. Op deze sites werden gestolen data geplaatst en kon onderhandeld worden over het losgeld. Ook de gehele backend-infrastructuur is offline.

Dat er enige sites van REvil offline gaan, is wel vaker gebeurd. Maar dat álle sites tegelijkertijd uit de lucht gaan, is niet eerder gebeurd. Ook via de DNS-queries kunnen de sites niet meer gevonden worden, wat kan betekenen dat de DNS-infrastructuur is afgesloten.  

'Bevel van de overheid'

Wat de reden is voor de totale verdwijning is niet duidelijk. Op het  Russisch hackersforum XSS heeft volgens een bron van BleepingComputer een lid van een andere hackersgroep een post geplaatst waarin hij een gerucht meldt dat de REvil-bende een bevel heeft gekregen van de Russische overheid om hun servers uit de lucht te halen. Kort daarna werd REvil van datzelfde forum verbannen. Gebruikers van dergelijke forums worden wel vaker verbannen als ze ervan verdacht worden dat de politie achter ze aan zit.

Duidelijk is wel dat de Amerikaanse president Biden met de Russische president Poetin heeft gesproken over de aanval van REvil. Het is echter niet duidelijk of REvil zichzelf heeft afgesloten, of er sprake is van een technisch probleem of dat een Russische of Amerikaanse overheidsactie heeft plaatsgevonden. Eerder gingen andere ransomwaregroepen, DarkSide en Babuk, al vrijwillig uit de lucht onder druk van overheden.

Geruchten gingen al eerder dat het succes van deze hack de criminelen boven het hoofd was gegroeid. Niet alleen was er niet genoeg capaciteit om met de vele slachtoffers te onderhandelen, ook blijken er maar weinig getroffen bedrijven bereid te betalen. Dat zou samenhangen met het feit dat er geen backups zijn vernietigd en geen data zijn gestolen. En dat komt dan weer doordat REvil niet in staat was de backups te vernietigen omdat het een methode gebruikte die niet goed werkte.