'Hackersgroep REvil nu zelf gehackt'
De hackersgroep achter de REvil-ransomware is nu zelf gehackt. Een internationale operatie geleid door de VS zou de hackers offline hebben gehaald.
Dat zeggen beveiligingsexperts die met de VS samenwerken tegen Reuters.
Het zou gaan om een gezamenlijke operatie van de FBI, de Amerikaanse geheime dienst en het Amerikaanse ministerie van Defensie. Meerdere andere landen hebben meegeholpen, maar welke landen dat waren, is niet bekend.
Tijdens de operatie kregen de opsporingsdiensten de controle over meerdere servers die door REvil werden gebruikt, zeggen de experts.
Grote bedrijven getroffen
Begin juli werden duizenden bedrijven getroffen door de gijzelsoftware van de REvil-groep. Bestanden en betaalsystemen van die bedrijven waren niet toegankelijk, en REvil eiste een losgeldbedrag van 70 miljoen dollar in bitcoin om de decryptiesleutel vrij te geven.
De REvil-hackersgroep zou verantwoordelijk zijn voor de aanvallen op 's werelds grootste vleesverwerker JBS, het grootste Amerikaanse oliepijpleidingbedrijf Colonial Pipeline, en Kaseya, dat software levert waarmee bedrijven systemen op afstand kunnen beheren. De hackers konden vervolgens systemen van honderden bedrijven overnemen om bestanden te gijzelen en losgeld te eisen.
Decryptiesleutel
Op 13 juli gingen de servers van REvil offline. Slachtoffers die geen losgeld hadden betaald konden daarom niet bij hun bestanden. Later kwamen er oplossingen, waaronder een gratis universele sleutel van Bitdefender.
Na de aanval op Kaseya wist de FBI een universele decoderingssleutel te bemachtigen, waarmee de via Kaseya geïnfecteerde personen hun bestanden konden herstellen zonder losgeld te betalen. Maar de inlichtingendienst hield de sleutel drie weken lang geheim, omdat REvil anders zou hebben geweten dat de FBI de groep had gehackt, schrijft Reuters.
Leiders
Nadat websites van REvil in juli offline gingen, verdween de hoofdwoordvoerder van de groep, die zichzelf 'Unknown' (onbekend) noemt, van het internet. Toen vermeend bendelid 0_neday en anderen afgelopen maand die websites vanaf een backup herstelden, herstartten ze onbewust enkele interne systemen die al door de opsporingsdiensten werden beheerd.
De persoon achter 0_neday meldde afgelopen weekend op een cybercrimeforum dat de servers van REvil waren gehackt. "De server was gecompromitteerd en ze waren op zoek naar mij", schreef hij volgens beveiligingsbedrijf Recorded Future. "Veel succes allemaal, ik ben vertrokken."