REvil Ransomware Kembali Lakukan Serangan dan Bocorkan Data

REvil Ransomware Kembali Lakukan Serangan dan Bocorkan Data

Internet Sehat : Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri. Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

REvil kemudian menuntut tebusan 50 juta dollar AS untuk decryptor universal untuk semua korban Kaseya, sebanyak 5 juta dollar AS untuk dekripsi MSP, dan tebusan 44.999 dollar AS untuk ekstensi enkripsi file individual di bisnis yang terpengaruh. Serangan ini memiliki konsekuensi yang sangat luas di seluruh dunia sehingga membawa perhatian penuh dari penegak hukum internasional untuk melawan kelompok tersebut.

Kemungkinan merasa tertekan dan khawatir akan ditangkap, geng REvil Ransomware tiba-tiba ditutup pada 13 Juli 2021, meninggalkan banyak korban dalam kesulitan tanpa cara mendekripsi file mereka. Terakhir tentang REvil adalah bahwa Kaseya menerima decryptor universal yang dapat digunakan korban untuk mendekripsi file secara gratis. Tidak jelas bagaimana Kaseya menerima decryptor, tetapi menyatakan itu berasal dari pihak ketiga yang tepercaya.

Setelah penutupan aksi mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik. Namun, sangat mengejutkan ternyata geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware. Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal. Namun Bleeping Computer telah melihat bukti lebih lanjut dari serangan baru mereka karena geng ransomware telah menerbitkan tangkapan layar data curian untuk korban baru di situs kebocoran data mereka.

Sumber : Bleeping Computer

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.