Atacatorii Kaseya au dispărut: ce s-a întâmplat cu site-urile hackerilor

de: Cojocaru Cristian
14 07. 2021

Atacatorii companiei Kaseya par să fi dispărut, acest lucru, la scurt timp de la unul dintre cele mai mari atacuri cibernetice din istorie. Gruparea, despre care se crede că locuiește în Rusia, a fost legată de două dintre cele mai dezastruoase accesări ilegale.

În mai, banda a atacat cu succes furnizorul de carne JBS, ulterior cerând companiei 11 milioane de dolari. Apoi, în urmă cu aproximativ o săptămână, banda și-a asumat responsabilitatea pentru atacul asupra furnizorului global de IT Kaseya, cerând 70 de milioane de dolari în schimbul unei chei de decriptare care ar debloca toate datele victimelor.

Totuși, norocul lui REvil s-ar putea să se fi epuizat. Marți, în jurul orei 1 dimineața, toate urmele online ale bandei păreau să dispară în mod ciudat de pe internet. Profesioniștii din domeniul securității au început să comenteze pe Twitter că site-urile web ale benzii păreau să nu funcționeze. În special, site-ul grupului pe care REvil l-a folosit în mod obișnuit pentru a cere răscumpărări de la victime, folosind date furate în timpul atacurilor, site pe care l-au denumit ironic ”Blogul fericit”.

„Toate site-urile REvil sunt defecte, inclusiv site-urile de plăți și site-urile de scurgere a datelor. Reprezentantul grupului public de răscumpărare  este în mod ciudat liniștit”, a declarat Lawrence Abrams, cercetător în domeniul securității și proprietar al BleepingComputer.

Această dispariție vine la mai puțin de o săptămână după presupusul atac al bandei asupra Kaseya, care a afectat aproximativ 1.500 de companii din întreaga lume. Nimeni nu a plătit încă răscumpărarea de 70 de milioane de dolari, ceea ce lasă în continuare sute de companii să fie afectate.

Presupusele motive pentru care atacatorii Kaseya au dispărut

Deși momentan nu este clar de ce grupul a dispărut, există câteva teorii care circulă cu privire la ceea ce s-ar fi putut întâmpla cu renumitul grup. Dintre acestea, menționăm:

  • au fost atacați de o agenție rusă de aplicare a legii;
  • au fost atacați de o agenție de aplicare a legii din SUA;
  • au decis să se ascundă pentru o perioadă din motive necunoscute.

Căderea site-urilor REvil a avut loc la mai puțin de o săptămână după ce, Joe Biden ar fi purtat o conversație cu Vladimir Putin, în cadrul căreia i-a cerut să facă față hackerilor care operează în interiorul granițelor Rusiei.

O altă posibilitate este ca o agenție americană să fi vizat banda. New York Times a sugerat că este posibil ca Biden să fi „ordonat Comandamentului Cibernetic al Statelor Unite, în colaborare cu agențiile naționale de aplicare a legii, inclusiv cu F.B.I., să anihileze respectiva bandă, la fel ca în cazul DarkSide, cei care au inițiat atacul asupra Colonial Pipeline.

În cele din urmă, este, de asemenea, posibil ca REvil să fi decis să se retragă din motive necunoscute, deși pare puțin ciudat să facă acest lucru chiar în timp ce purta negocieri cu Kaseya pentru plata răscumpărării de 70 de milioane de dolari. Unii cercetători în domeniul securității de pe Twitter au subliniat că site-urile de ransomware devin în mod obișnuit offline, dar de obicei vor reveni online într-o perioadă scurtă de timp. Alții au susținut că acest incident pare să fie puțin diferit.