Revil, una delle bande di ransomware più pericolose del mondo è improvvisamente scomparsa da internet, ieri mattina. Tutti i siti web di questa gang russa colpevole del recente mega attacco Kaseya – sono andati offline e – elemento più rivelatore – lo stesso è accaduto alla loro infrastruttura.
Un evento che coincide con le discussioni in corso sulla cybersecurity tra Russia e Usa, coincidenza che potrebbe fare pensare a una pressione politica sulla gang. “Sarebbe la prima volta che il premier russo Putin accetta di collaborare con l’Occidente per porre freno ai cybercriminali, che finora in Russia hanno avuto porto franco”, spiega Alberto Pelliccione, Ceo di Reaqta.
Ransomware, la lezione del Governo USA: ecco i tasselli chiave di una nuova strategia
Indice degli argomenti
Chi sono quelli di REvil
La banda di ransomware conosciuta come REvil esiste da anni e secondo varie stime il 42% di tutti i recenti attacchi ransomware sono attribuibili a loro.
All’inizio di questo mese, la banda ha colpito almeno 1.000 aziende attaccando la società di software Kaseya. È stata una delle più ampie campagne ransomware mai condotte. E il mese scorso, REvil ha colpito il fornitore di carne JBS e ha chiesto il pagamento di 11 milioni di dollari.
REvil è un gruppo di lingua russa, il malware che scrivono evita i computer russi, e sono collegati ad altri gruppi che si ritiene siano all’interno della Russia
Il down di REvil
Tutti i siti web utilizzati dalla banda REvil, compresi quelli dove il gruppo pubblica i dati rubati, sono ora offline. Ancora più significativo, però, è che tutte le infrastrutture e i computer che la banda utilizza per condurre gli attacchi sono andati offline intorno alle 8 di martedì mattina, ora di Mosca. Anche il portavoce del gruppo è stato inattivo per quasi una settimana.
I siti di ransomware vanno su e giù spesso, ma non tutti assieme: questo fattore secondo gli esperti può indicare che c’è qualcosa sotto.
“La gang è stata bandita su un forum, XSS su Tor, e non capita mai”, aggiunge Pelliccione.
Come si spiega l’abbandono di REvil
“Una spiegazione è che la banda stessa potrebbe aver scelto di ritirarsi se hanno fatto abbastanza soldi o sentito troppa pressione, com’era successo con la gang dietro Solarwinds”, dice Pelliccione.
“Oppure, ma è meno probabile, l’FBI li ha messi giù. Terza ipotesi – aggiunge – il Governo russo, messo sotto pressione dagli Usa o per motivi diplomatici opportunistici, li ha costretti a chiudere”, aggiunge.
Molti analisti concordano con questa tre possibilità.
Ma la loro scomparsa potrebbe anche essere temporanea; molti criminali informatici fingono di “ritirarsi” prima di riapparire con nuove identità.
“Raccomandiamo di non saltare a conclusioni immediate perché è presto, ma REvil è davvero una delle bande di ransomware più spietate e creative che abbiamo mai visto”, dice Ekram Ahmed, un portavoce di Check Point Software.
Sta di fatto che dopo il massiccio attacco di questo mese, l’addetto stampa della Casa Bianca Jen Psaki ha detto: “Se il governo russo non può o non vuole agire contro gli attori criminali in Russia, prenderemo provvedimenti o ci riserveremo il diritto”.
Con il vertice USA-Russia di domani, previsto proprio a tema ransomware, sembra che ci possano essere nuovi sviluppi. E forse il down di REvil non è una coincidenza ma un segnale di un nuovo approccio “geopolitico” alla questione cyber internazionale.
