REvil è KO: l'FBI sgomina la banda del ransomware as a service

REvil è KO: l'FBI sgomina la banda del ransomware as a service

Con un'operazione coordinata tra le forze dell'ordine di vari Paesi, l'FBI è riuscito a smantellare le operazioni di REvil, il gruppo criminale che nel corso degli ultimi due anni ha mietuto vittime illustri

di pubblicata il , alle 10:31 nel canale Sicurezza
 

Che qualcosa di particolare fosse nell'aria lo si era sospettato non molti giorni fa, quando il sito "ufficiale" del gruppo ransomware REvil è stato messo offline. Tra le ipotesi principali: una defezione, con pugnalata alle spalle, di un membro del gruppo oppure l'azione delle forze dell'ordine.

A quanto pare la seconda ipotesi ha trovato confeme nella realtà: l'agenzia stampa Reuters ha infatti riferito che diversi Paesi hanno collaborato riuscendo a mettere K.O. il gruppo ransomware e sfruttando una tecnica prediletta proprio dal gruppo di criminali informatici: la compromissione dei backup.

Lo scorso mese l'FBI era riuscito a compromettere i server di REvil e ad ottenere una chiave di decifratura universale per il ransomware REvil, mantenendo segreta la cosa anche agli occhi del gruppo ransomware per circa tre settimane. In questo modo l'FBI è stato in grado di inserire nei backup del gruppo uno strumento di accesso remoto. Quando il gruppo ha ripristinato le operazioni ha concesso, inconsapevolmente, accesso ad alcuni sistemi alle forze dell'ordine: esattamente come accade in una delle tattiche più sfruttate dal gruppo.

A confermare il successo dell'operazione è la stessa FBI. Tom Kellermann, responsabile della strategia di sicurezza informatica per VMware e consulente dei servizi segreti USA per le indagini sul crimine informatico ha dichiarato a Reuters: "L'FBI in collaborazione con il Cyber Command, il Secret Service e altri paesi sulla stessa lunghezza d'onda, si sono impegnati in significative azioni dirompenti contro questi gruppi. REvil era in cima alla lista".

Il successo dell'operazione è in qualche misura conseguenza del nuovo corso contro questo genere di operazioni criminali. Di recente, infatti, il viceprocuratore generale degli USA, Lisa Monaco, ha stabilito che gli attacchi ransomware ad infrastrutture critiche rappresentano una minaccia alla sicurezza nazionale allo stesso livello del terrorismo. In questo modo il Dipartimento di Giustizia ha la possibilità di ottenere il supporto dal Pentagono e dalle agenzie di intelligence del Paese. "In precedenza non era possibile entrare in questi forum e i militari non volevano avere niente a che fare con tutto ciò" ha sottolineato, a tal proposito, Kellermann.

E REvil rientra senza dubbio nella categoria delineata dal viceprocuratore generale Monaco. Il gruppo ransomware, palesatosi per la prima volta nel 2019, ha inizialmente preso di mira realtà che non rientrano nella definizione di "infrastrutture critiche" (ricordiamo per esempio l'attacco allo studio legale delle celebrità, tra cui Lady Gaga, Madonna e gli U2, oppure ancora le infiltrazioni presso il produttore Quanta Computer). Ma a maggio di quest'anno REvil (l'attacco è avvenuto ad opera di DarkSide, che ha usato un ransomware con molti punti di contatto con REvil) ha messo in ginocchio l'impianto di distribuzione di carburanti Colonial Pipeline, causando difficoltà di approvvigionamento in varie parti del Paese. E solo poche settimane dopo ha sferrato un attacco a JBS, importante azienda di lavorazione della carne, costringendola a sospendere le operazioni in USA, Canada e Australia. L'ultimo colpo è quello a Kaseya, realtà IT che fornisce strumenti di gestione remota anche a realtà che operano nel settore sanitario e dell'amministrazione.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Zappz25 Ottobre 2021, 10:35 #1
C'e' poco da fare, quando vai a pestare i piedi degli stati uniti ti fai del male...
Saturn25 Ottobre 2021, 11:29 #2
Sgominata la banda=responsabili in galera a raccogliere saponette e spaccare pietre per trent'anni ?

Se si sono estremamente felice.
Perseverance25 Ottobre 2021, 11:55 #3
Non è dato sapere se poi erano veramente russi e cinesi come fino ad ora hanno insinuato? Xkè non dicono la nazionalità e la matrice di questi "attentatori" ?
Cfranco25 Ottobre 2021, 12:48 #4
Originariamente inviato da: Saturn
Sgominata la banda=responsabili in galera a raccogliere saponette e spaccare pietre per trent'anni ?

Se si sono estremamente felice.

L'operazione ha solo formattato i server del gruppo
In realtà non si sa se qualcuno sia stato arrestato, anche se alcuni dettagli lascerebbero pensare di si.

Originariamente inviato da: Perseverance
Non è dato sapere se poi erano veramente russi e cinesi come fino ad ora hanno insinuato? Xkè non dicono la nazionalità e la matrice di questi "attentatori" ?


Che siano russi nessuno lo mette in dubbio, anche se ovviamente alcune persone potrebbero lavorare fuori dalla Russia.
https://www.zdnet.com/article/multi...-group-reuters/
Alcuni indizi potrebbero indicare che uno dei capi sia stato arrestato a Luglio, a partire dal messaggio del numero due dell' organizzazione
Link ad immagine (click per visualizzarla)

In realtà non è detto che la polizia russa chiuda gli occhi su queste cose, probabilmente non sono le cose più importanti che devono perseguire, ma in fondo questi tizi rompono le balle pure a loro per cui se li pescano non li mollano di certo.
Saturn25 Ottobre 2021, 12:49 #5
Originariamente inviato da: Cfranco
L'operazione ha solo formattato i server del gruppo
In realtà non si sa se qualcuno sia stato arrestato, anche se alcuni dettagli lascerebbero pensare di si.


Speriamo !
aqua8425 Ottobre 2021, 13:05 #6
Originariamente inviato da: Perseverance
Non è dato sapere se poi erano veramente russi e cinesi come fino ad ora hanno insinuato? Xkè non dicono la nazionalità e la matrice di questi "attentatori" ?


Non so ai giorni nostri quanto sia importante la nazionalitá.
Fosse stato russo era contro gli usa?
Fosse stato cinese era contro gli usa?
Fosse stato italiano era contro gli usa?

L unico motivo è sempre lo stesso, I SOLDI.
Dubito che un criminale, americano, per soldi, si faccia scrupoli patriottici se deve "attaccare" il suo paese piuttosto che un altro.
Cfranco25 Ottobre 2021, 13:21 #7
Originariamente inviato da: aqua84
Non so ai giorni nostri quanto sia importante la nazionalitá.
Fosse stato russo era contro gli usa?
Fosse stato cinese era contro gli usa?
Fosse stato italiano era contro gli usa?

L unico motivo è sempre lo stesso, I SOLDI.
Dubito che un criminale, americano, per soldi, si faccia scrupoli patriottici se deve "attaccare" il suo paese piuttosto che un altro.


Diciamo che normalmente se sono russi e spennano qualche americano la polizia locale non è che si ammazzi di fatica per trovarli
Questi qua però l'hanno combinata un po' troppo grossa
Zappz25 Ottobre 2021, 13:37 #8
Originariamente inviato da: aqua84
Non so ai giorni nostri quanto sia importante la nazionalitá.
Fosse stato russo era contro gli usa?
Fosse stato cinese era contro gli usa?
Fosse stato italiano era contro gli usa?

L unico motivo è sempre lo stesso, I SOLDI.
Dubito che un criminale, americano, per soldi, si faccia scrupoli patriottici se deve "attaccare" il suo paese piuttosto che un altro.


Quando hai tutto il mondo a disposizione e decidi di attaccare proprio gli Usa, non lo fai solo per soldi, altrimenti saresti il piu' fesso del pianeta...
Cfranco25 Ottobre 2021, 13:51 #9
Originariamente inviato da: Zappz
Quando hai tutto il mondo a disposizione e decidi di attaccare proprio gli Usa, non lo fai solo per soldi, altrimenti saresti il piu' fesso del pianeta...


È abbastanza evidente che gli USA sono quelli che hanno più soldi e quindi sono i bersagli preferiti dai ladri.
È una questione economica, se rubi cerchi di rubare ai ricchi.
Zappz25 Ottobre 2021, 13:58 #10
Originariamente inviato da: Cfranco
È abbastanza evidente che gli USA sono quelli che hanno più soldi e quindi sono i bersagli preferiti dai ladri.
È una questione economica, se rubi cerchi di rubare ai ricchi.


Si tranquillo, vai pure a rubare in Usa, ne hanno talmente tanti che non se la prendono se ne rubi un po'...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^