Suspectați afiliați REvil Ransomware arestați în România

Oamenii legii din România au arestat săptămâna trecută două persoane suspectate că au comis atacuri cibernetice folosind ransomware Sodinokibi/REvil.

Ambii suspecți sunt presupus responsabili pentru 5.000 de infecții cu ransomware și se crede că au primit aproape 500.000 EUR în plăți de răscumpărare.

DIOCT (Direcția Română de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism) și ofițeri de poliție judiciară au efectuat patru percheziții domiciliare pe raza municipiului Constanța la data de 4.^NS Noiembrie Mai multe dispozitive electronice, inclusiv laptopuri, telefoane mobile și medii de stocare, au fost confiscate de la fața locului.

In aceeasi zi, instanta Bucuresti a dispus arestarea preventiva a inculpatului pentru 30 de zile.

Agenția europeană de aplicare a legii Europol a declarat într-o a Comunicat de presă Arestările au fost rezultatul „Operațiunii Praful de Aur”, care a implicat Europol, Eurojust, Interpol și 17 țări.

Pe lângă arestările efectuate săptămâna trecută, alți cinci membri suspectați ai bandei de ransomware au fost arestați din februarie 2021: trei afiliați REvil și doi afiliați GandCrab.

În februarie, aprilie și octombrie 2021, autoritățile sud-coreene au arestat trei persoane presupuse implicate în familiile GandCrab și Sodinokibi/REvil Ransomware.

Luna trecută, un membru Sudinokipe/Revel – un cetățean ucrainean suspectat de atacul Cassia – a fost arestat la granița cu Polonia, după ce SUA au emis un mandat internațional de arestare.

Pe 4 noiembrie, autoritățile kuweitene au arestat un alt suspect în GandGrab.

Toți acești șapte afiliați de ransomware sunt suspectați că sunt responsabili pentru aproape 7.000 de infecții și au făcut un total de 200 de milioane de euro în cereri de răscumpărare.

Actualizare: Filiala Sudinokipe/Revell care a fost interceptată în octombrie, suspectată că ar fi comis crima lui Alkass # programe tranzitorii Atacul a afectat până la 1.500 de companii din aval și a cerut o răscumpărare de 70 de milioane de euro. El a fost arestat la granița PL după ce SUA au emis un mandat internațional de arestare.

Europol 8 noiembrie 2021

În timpul Operațiunii GoldDust, Europol a facilitat schimbul de informații, a sprijinit coordonarea operațiunilor și a oferit suport analitic operațional, precum și analize malware, cripto și criminalistice.

„În timpul zilelor lucrătoare, Europol a desfășurat experți în fiecare locație și a activat un centru de comandă virtual pentru a coordona activitățile de pe teren”, a spus agenția.

Operațiunea GoldDust a primit sprijin de la companii private de securitate cibernetică, inclusiv Bitdefender, McAfee și KPN. Potrivit Europol, Bitdefender oferă și instrumente de decriptare pentru a ajuta victimele ransomware-ului să-și recupereze datele, fără a fi nevoite să plătească răscumpărarea.

REvil, cunoscut și sub numele de Sodinokibi sau Sodin, a fost unul dintre cele mai populare grupuri de ransomware în 2020/21. Încalcă rețelele corporative folosind spam, exploatări și detectarea serviciilor desktop la distanță și a furnizorilor de servicii gestionate (MSP) compromise.

Banda se concentrează în principal pe marile companii și evită să țintească consumatorii.

În iunie, gigantul de procesare a cărnii JBS a declarat că a plătit 11 milioane de dolari către REvil, care și-a închis sistemele la sfârșitul lunii mai.

În iulie, REvil a folosit o eroare zero-day în instrumentul de management de la distanță al Kaseya VSA pentru a cripta aproximativ 60 de furnizori de servicii gestionați și peste 1.500 dintre clienții lor IMM-uri într-o grevă masivă a lanțului de aprovizionare.

La câteva zile după ce a atacat-o pe Kaseya, REvil a dispărut de pe internet – a renunțat la forumuri, și-a deconectat serverele și și-a închis prezența întunecată online. Se așteaptă să suspecteze că guvernul rus a forțat grupul să-și oprească operațiunile, pentru a arăta lumii că lucrează cu guvernul SUA.

În septembrie, câteva dintre serverele web întunecate ale REvil au reapărut, stârnind temeri că grupul pregătește noi atacuri.

Luna trecută, a reieșit că gașca REvil în sine a fost piratată și dusă online într-o operațiune coordonată care a implicat agenții de aplicare a legii din mai multe țări. Reuters Acesta a raportat că experții cibernetici care lucrează cu agențiile de informații din SUA au reușit să pirateze infrastructura rețelei de computere a REvil și să obțină controlul asupra cel puțin a unora dintre serverele lor.

Deși este prea devreme să spunem dacă aceste arestări înseamnă sfârșitul REvil sau dacă va reapărea sub alt nume, succesele forțelor de ordine îi vor da cu siguranță să se gândească și altor bande de ransomware.