Il famigerato gruppo ransomware REVil, noto anche come Sodinokibi, è scomparso misteriosamente da Internet, REvil si è costruito una non bella reputazione negli ultimi anni come nel prendere di mira, senza paura grandi aziende e siti governativi chiedendo somme di denaro sempre più alte in seguito ai suoi attacchi. REvil, inoltre concede anche in licenza il suo malware sotto forma di modello operativo ransomware-as-a-service (RaaS).
Secondo vari ricercatori di sicurezza, i server del gruppo e i suoi siti utilizzati per i pagamenti di chi cade nei loro attacchi, sono inattivi. Un portavoce del gruppo ransomware che si fa chiamare “‘Unknown'”, non è attivo sui social da giovedì scorso. È troppo presto per dire come o perché tutte le tracce di REvil siano scomparse, e i ricercatori chiedono cautela mentre le speculazioni dilagano.
La chiusura è particolarmente strana data la tempistica, con REvil che solo pochi giorni fa che ha lanciato un massiccio attacco contro Kaseya e che si dice abbia colpito 1.500 aziende, con il gruppo che ha chiesto un riscatto di 70 milioni di dollari in cambio della fornitura della chiave di decrittazione universale. REvil ha anche recentemente preso di mira Apple, minacciando di rilasciare schemi hardware e l’anno scorso ha affermato di aver guadagnato 100 milioni di dollari dalle sue attività.
Il gruppo REvil è sparito, tutti alla ricerca del perchè
Non è chiaro perché i siti Web di REvil non siano più accessibili. Come menzionato da Reuters, le bande di ransomware tendono a svanire e a cambiare nome nel caso in cui attirino troppa attenzione. Il presidente Biden ha recentemente rivelato di aver detto al presidente russo Vladimir Putin che si aspetta che il suo governo agisca sugli attacchi ransomware provenienti dal suo paese. Alla domanda se gli Stati Uniti avrebbero attaccato i server utilizzati dai criminali informatici russi per dirottare le reti americane, Biden ha risposto con un secco “Yes!”.
Un esperto di sicurezza informatica, Kevin Beaumont, ha affermato che una simile scomparsa non è troppo insolita, con diversi gruppi che potrebbero avere problemi di stabilità a causa del modo in cui operano. Sebbene sia possibile che le forze dell’ordine abbiano preso di mira il gruppo, è altrettanto probabile che REvil abbia avuto un problema interno o banalmente, un guasto hardware, ha aggiunto.
In un tweet successivo, Beaumont ha riferito che secondo le chiacchiere che circolano sul dark web, REvil ha eseguito una “truffa di uscita” e quindi è stato eliminato da Internet. In termini di criminalità informatica, un’exit scam implica che un gruppo smetta di operare per i propri “clienti” sostenendo che i loro database siano stati sequestrati, ad esempio, non prima prelevare tutti i soldi pagati per “la commissione” senza fornire però nulla in cambio.