Grup peretas REvil yang menyebabkan kekurangan gas di Amerika Serikat sedang offline setelah operasi multi-negara

Kelompok ransomware REvil sendiri diretas dan dipaksa online minggu ini melalui operasi multi-negara, menurut tiga pakar cyber swasta yang bekerja dengan Amerika Serikat dan seorang mantan pejabat.

Mantan mitra dan rekan dari geng kriminal yang dipimpin Rusia bertanggung jawab atas serangan dunia maya pada bulan Mei di saluran pipa Kolonial yang menyebabkan kekurangan gas yang meluas di Pantai Timur Amerika Serikat. Di antara korban langsung REvil adalah perusahaan pengepakan daging terbaik JBS. Happy Blog kelompok kejahatan, yang digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia.

Para pejabat mengatakan serangan kolonial menggunakan perangkat lunak enkripsi yang disebut DarkSide, yang dikembangkan oleh REvil Partners.

Tom Kellerman, kepala strategi keamanan siber di VMWare, mengatakan aparat penegak hukum dan intelijen telah mencegah kelompok itu merugikan perusahaan lain.

“FBI, dalam kombinasi dengan Cyber ​​Command, Secret Service, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan sabotase yang signifikan terhadap kelompok-kelompok ini,” kata Kellerman, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Seorang tokoh terkemuka yang dikenal sebagai “0_neday,” yang membantu memulai kembali operasi grup setelah penutupan sebelumnya, mengatakan server REvil telah diretas oleh pihak yang tidak disebutkan namanya.

“Server diretas, mereka mencari saya,” tulis 0_neday di forum kejahatan dunia maya akhir pekan lalu dan dilihat oleh perusahaan keamanan Recorded Future. “Semoga beruntung semuanya; aku keluar.”

Upaya pemerintah AS untuk menghentikan REvil, salah satu dari lusinan geng ransomware yang bekerja dengan peretas untuk menyusup dan melumpuhkan perusahaan di seluruh dunia, dipercepat setelah kelompok itu meretas perusahaan manajemen perangkat lunak AS Kaseya pada Juli.

Peretasan ini membuka akses ke ratusan pelanggan Kaseya sekaligus, menghasilkan banyak panggilan tanggap darurat insiden internet.

kunci atomisasi

Setelah serangan Kaseya, FBI memperoleh kunci dekripsi global yang memungkinkan orang yang terinfeksi Kaseya untuk memulihkan file mereka tanpa membayar uang tebusan.

Tetapi petugas penegak hukum awalnya menahan kunci itu selama berminggu-minggu karena mereka diam-diam mengejar karyawan REvil, FBI kemudian mengakui.

Menurut tiga orang yang mengetahui masalah ini, penegak hukum dan spesialis intelijen siber dapat meretas infrastruktur jaringan komputer REvil, mengambil kendali atas setidaknya beberapa server mereka.

Setelah situs web yang digunakan kelompok peretas untuk melakukan bisnis berhenti pada bulan Juli, juru bicara utama kelompok tersebut, yang menyebut dirinya “tidak dikenal”, menghilang dari internet.

Ketika anggota geng 0_neday dan yang lainnya memulihkan situs-situs ini dari cadangan bulan lalu, dia tanpa sadar me-reboot beberapa sistem internal yang sudah berada di bawah kendali penegak hukum.

“Geng ransomware REvil memulihkan infrastruktur dari cadangan dengan asumsi itu tidak dikompromikan,” kata Oleg Skolkin, wakil presiden laboratorium forensik di perusahaan keamanan yang dipimpin Rusia Group-IB. “Ironisnya, taktik favorit geng untuk tawar-menawar cadangan berbalik melawan mereka.”

Cadangan yang andal adalah salah satu pertahanan terpenting terhadap serangan ransomware, tetapi cadangan tersebut harus tetap tidak terhubung ke jaringan utama atau dapat juga dienkripsi oleh pemeras seperti REvil.

Seorang juru bicara Dewan Keamanan Nasional Gedung Putih menolak berkomentar secara khusus mengenai operasi tersebut.

“Secara keseluruhan, kami melakukan upaya penuh ransomware pemerintah, termasuk mengganggu infrastruktur dan aktor ransomware, bekerja dengan sektor swasta untuk memodernisasi pertahanan kami, dan membangun koalisi internasional untuk meminta pertanggungjawaban negara-negara dengan aktor tebusan,” kata orang itu. .

FBI menolak berkomentar.

Seseorang yang mengetahui peristiwa tersebut mengatakan bahwa mitra asing pemerintah AS melakukan operasi peretasan yang menembus infrastruktur komputer di REvil. Seorang mantan pejabat AS, yang berbicara dengan syarat anonim, mengatakan operasi itu masih aktif.

Kellerman mengatakan keberhasilan itu berasal dari tekad Wakil Jaksa Agung AS Lisa Monaco bahwa serangan ransomware pada infrastruktur penting harus diperlakukan sebagai masalah keamanan nasional yang mirip dengan terorisme.

Pada bulan Juni, John Carlin, wakil jaksa agung utama, mengatakan kepada Reuters bahwa Departemen Kehakiman meningkatkan penyelidikan terhadap serangan ransomware ke prioritas yang sama.

Kellerman mengatakan tindakan semacam itu memberi Departemen Kehakiman dan badan-badan lain dasar hukum untuk mendapatkan bantuan dari badan-badan intelijen AS dan Departemen Pertahanan.

“Sebelumnya, Anda tidak dapat meretas forum-forum ini, dan militer tidak ingin ada hubungannya dengan mereka. Sejak itu, sarung tangan telah terlepas.”