Under de senaste månaderna har vi sett hur Ransomware har skapat enormt kaos i hundratals företag och myndigheter , där mycket data har slutat krypteras. Dessa data kan för närvarande inte återställas och det kan ta år innan dekrypteringsverktyget skapas. Lyckligtvis verkar det som att denna rad av attacker har upphört.
Denna ransomware har ett konstant uppdateringssystem, där REvil grupp säljer åtkomst till helt uppdaterade filer i prenumerationstjänst format, som om det vore ett Netflix skadliga program.
REvil: adjö till dina ransomware-attacker
REvil hade en ” ransomware-as-a-service "( Raas ) och var en av de första som började erbjuda denna tjänst i april 2019. Dess ”produkt” baserades på GandCrab-ransomware, som dök upp i början av 2018. När det gäller REvil antas det att de drivs från Ryssland.
Denna grupp har uppenbarligen försvunnit från Internet spårlöst. REvil hade en infrastruktur i Tor-nätverket med totalt 23 webbplatser där de filtrerade data, utförde utpressningar och bearbetade betalningarna för dem som hyrde in sina tjänster. De är alla borta och visar felet ”Lökplatsen hittades inte”.
Gruppen hade varit ansvarig för mer än 360 attacker på företag i den offentliga och privata sektorn i USA och orsakade förluster på miljarder dollar för landet. Gruppen tjänade åtminstone tiotals miljoner dollar med sin aktivitet, eftersom vissa drabbade företag betalade dem lösen i bitcoin för att få tillbaka pengarna, till exempel köttföretaget JBS, som betalade 11 miljoner dollar.
Gruppens slut kommer tillfällen veckor efter Vladimir Putin och Joe Biden talade om det allvarliga problemet med ransomware. De stängning av REvil har planerats och dess infrastruktur har demonterats, antingen av myndigheterna eller av malwareoperatörerna själva.
Detta gör att de som har smittats med skadlig programvara utan möjlighet att få tillbaka pengarna, eftersom de inte har möjlighet att skicka betalningsverifieringen eftersom gruppen är nedmonterad och kommer heller inte att kunna ta emot nycklarna, så de måste vänta på att någon snart skapar dekrypteringsverktyg.
Ransomware som används i attacker mot Spanien är Ryuk
I Spanien har tyvärr de flesta attackerna genomförts med Ryuk ransomware, som underhålls av en annan grupp än den som har försvunnit. Dessutom är Ryuk den ransomware som har tjänat mest pengar i lösen, med hjälp av infektionsmekanismer som liknar Revil .
Av denna anledning kommer inte attackerna att försvinna, och det kan till och med förväntas att det kommer att bli en rebound i de attacker som genomförts med Ryuk, eftersom de tillsammans med Maze hittills var den mest använda ransomware-tridenten i nätverket. Vi kan se en tillfällig minskning av dessa typer av attacker eftersom andra grupper är rädda av eventuella repressalier, men det finns alltid någon grupp som slutar ta stafettpinnen i ett system så lukrativt som detta.
