Il ransomware group REvil violato e messo offline da un’operazione multinazionale secondo tre esperti informatici del settore privato che lavorano con gli Stati Uniti. Il sito web “Happy Blog” del gruppo criminale, che era stato usato per far trapelare i dati delle vittime ed estorcere le aziende, non è più disponibile.
Il capo della strategia di cybersicurezza di VMWare, Tom Kellermann, ha diffuso l’indiscrezione che il personale delle forze dell’ordine e dell’intelligence ha impedito al gruppo di vittimizzare altre aziende. “L’FBI, in collaborazione con il Cyber Command, i Servizi Segreti e paesi simili, si sono veramente impegnati in azioni dirompenti significative contro questi gruppi”
Il riscontro di questa attività c’è stata dalle dichiarazioni fatte da “0_neday“, che aveva aiutato proprio REvil a riavviare le operazioni del gruppo dopo un precedente arresto, riferendosi ad una violazione avvenuta per i server di REvil da una parte senza nome, congedandosi dalla sua attività.
I tentativi del governo degli Stati Uniti di fermare REvil, che ricordiamo essere nella top ten delle bande ransomware che lavorano con gli hacker per penetrare e paralizzare le aziende di tutto il mondo, sono aumentati dopo che il gruppo criminale ha compromesso la società di gestione del software statunitense Kaseya a luglio, i clienti di Kaseya tutti in una volta, portando a numerose chiamate di emergenza scaturiti dagli incidenti informatici.
Dopo l’attacco a Kaseya, l’FBI ha ottenuto una chiave di decrittazione universale che ha permesso alle persone infettate tramite il ransomware che ha colpito il gruppo industriale statunitense di recuperare i loro file senza pagare un riscatto seppur l’FBI lo abbia diffuso alle aziende colpite dopo un po’ di tempo dall’attacco. Dopo che i siti web che il gruppo di hacker usava per condurre gli affari sono andati offline a luglio, il principale portavoce del gruppo, che si fa chiamare “Unknown“, è scomparso da internet. Quando il membro della banda 0_neday, inseieme agli altri, ha ripristinato quei siti web da un backup il mese scorso, ha inconsapevolmente riavviato alcuni sistemi interni che erano già controllati dalle forze dell’ordine perché non si sono accorti di essere stati compromessi.
L’attacco del Governo degli Stati Uniti sembrerebbe, secondo alcune indiscrezioni, essere stato effettuato da un partner straniero e che l’operazione congiunta sia ancora in corso.
La risposta non si è fatta attendere, come ha descritto Emanuele de Lucia su Twitter riportando l’annuncio del fondatore di Groove che ha minacciato anche gli ospedali italiani.
