Megkönnyebbülést érezhetnek a ransomware fenyegetések miatt a felhasználók, pár napja ugyanis elnémult a híres-hírhedt REvil bűnözői csoport. Eddig csak találgatások voltak az okokról, ám időközben már a miértekre is fény derült.
Hatalmas horderejű, mindennapi életünkre is jelentős hatású, valamint elképesztő mértékű követelt váltságdíj jellemezte azokat az utóbbi időben bekövetkezett zsarolóvírus támadásokat, amelyek sok ember életét keserítették meg.
A Colonial Pipeline csővezeték rendszere elleni incidens hosszú leállást, és pánikszerű üzemanyaghiányt okozott az USA keleti partján, a JBS húsfeldolgozót (11 millió dollárnyi követelt váltságdíj) célzó támadás következménye szintén áruhiány és ellátási nehézségek lettek, míg a Kaseya felhőalapú távmenedzsment szolgáltató egy szintén egy hosszas leállást okozó ransomware támadással volt kénytelen szembenézni. A Colonial Pipeline (4.4 millió dollárnyi követelt váltságdíj) és a Kaseya (70 millió dollárnyi követelt váltságdíj) esetében is az elkövető a REvil banda volt.
Amint az a friss beszámolókból kiderült, nemcsak a korábbi Happy-blog vált elérhetetlenné október 17-étől, hanem a bűnüldöző szerveknek ezen a héten sikerült hozzáférniük a REvil számítógépes hálózati infrastruktúrájához, és ezen szerverek felett részleges irányítást tudtak szerezni.
A REvil bűnbanda már korábban is eltűnt egy időre, legutóbb júliusban tartottak egy rövidebb szünetet. Visszatérésükkor erőteljes, agresszív terjeszkedésbe kezdtek, például 90%-os jutalék felajánlása és hasonló gyanús jelek mutatkoztak, melyeket a biztonsági szakemberek is furcsának találtak.
Később jött aztán az a hír, amely szerint egy rejtett hátsóajtót tartalmaz a bérbe adott kártevő, amelyen keresztül a REvil fejlesztők a jelentős váltságdíj fizetéssel kecsegtető zsarolások végjátékát egyszerűen elveszik a bérlő bűnözőktől, és ezzel hoppon maradtak a RaaS ügyfelek. Akiket persze nem sajnálunk, de a modell hitelességét és jövedelmezőségét így a bűnözői oldalon is sokan elkezdték megkérdőjelezni.
Lényeg a lényeg, ugyan egyelőre egy oroszországi zsarolóvírus csapattal most kevesebb van, de a többi banda ilyenkor szokás szerint idővel átveszi a helyeket, jelen esetben a DarkSide csoportnál látni erőteljes pénzmozgásokat. Az sajnos viszont biztos, hogy amikor nem tartóztatnak le senkit, és csak időlegesen tudnak irányítást átvenni bizonyos kártékony szerverek felett, az nem jár végleges győzelemmel, és az akciót csak átmeneti sikerként könyvelhetjük el.
A REvil most látszólag kiszállt, később vissza is térhetnek mondjuk új néven, meg más is helyükre léphet, sőt ez így együtt is lehetséges. Addig is marad nekünk felhasználói oldalon a vírusvédelem, a rendszeres frissítés, az alapos konfigurálás, a rendszeres adatmentés és hasonló megelőző jellegű lépések.