Berucht hackerscollectief REvil spoorloos verdwenen

REvil maakte gebruik van zogenaamde ‘onion sites’ om te onderhandelen met hun slachtoffers en data van getroffen bedrijven uit te lekken. Sinds deze nacht zijn alle sporen van het hackerscollectief op het internet verdwenen. Al hun blogs en websites zijn offline gehaald van het dark web.

Kaseya

De Russische hackersgroep die ook gekend staat onder de naam Sodinokibi is berucht omwille van grootschalige ransomwareaanvallen. De meest recente aanval die aan REvil kan gelinkt worden is de aanval op softwareleverancier Kaseya. Ze maakte gebruik van een lek in het VSA-software softwareplatform die, zoals later onderzoek heeft aangetoond, Kaseya jarenlang had verwaarloosd. Ze vroegen vervolgens een losgeldsom van miljoenen dollars in bitcoin. Via de software konden ze zo ook duizenden klanten van het softwarebedrijf treffen. Tot op heden zijn er nog geen Belgische slachtoffers bekend.

In vaktermen heet deze aanvalstechniek een ‘supply chain attack’. Door een leverancier in het begin van de softwareketen aan te vallen creëer je een sneeuwbaleffect dat enorme schade kan aanrichten. Wie het nieuws rond de SolarWinds-aaval heeft gevolgd zal veel parallellen kunnen trekken. Ook toen werd gewezen naar Russische hackers, al is daar nooit sluitend bewijs voor gevonden.

• Lees ook: SolarWinds-hack erger dan gedacht

Sanctie van de overheid?

De precieze omstandigheden van de mysterieuze verdwijning van REvil zijn onbekend. Geruchten doen de ronde dat de Russische overheid heeft opgetreden tegen de hackers. Joe Biden en Vladimir Poetin hadden onlangs een overleg rond cyberaanvallen tussen beide landen. Biden had tijdens dat gesprek een duidelijke waarschuwing voor Poetin dat als hij niet zou optreden tegen Russische hackers die Amerikaanse organisaties aanvallen, de Verenigde Staten harde actie zal ondernemen. Hoewel Rusland altijd enige betrokkenheid met grote cyberaanvallen heeft ontkend, lijkt het ernaar dat Poetin die waarschuwing toch niet licht neemt.