Cyberbende REvil verslikt zich in te grote prooi

Gijzelsoftware President Biden eiste vrijdag – opnieuw – actie van president Poetin tegen hackers die vanuit Rusland opereren. De laatste grote aanval met gijzelsoftware kwam van cyberbende REvil. Wat weten we over deze cybercriminelen?

Mededeling van een Coop-supermarkt in Zweden op 3 juli: „Tijdelijk gesloten! We hebben een IT-storing en onze systemen doen het niet”. Honderden Coop-vestigingen in Zweden moesten sluiten vanwege een cyberaanval.
Mededeling van een Coop-supermarkt in Zweden op 3 juli: „Tijdelijk gesloten! We hebben een IT-storing en onze systemen doen het niet”. Honderden Coop-vestigingen in Zweden moesten sluiten vanwege een cyberaanval. Foto Ali Lorestani / AFP

Een losgeld van 70 miljoen dollar eisten de daders van de ransomware-aanval die begin deze maand wereldwijd meer dan 1.500 bedrijven trof via een inbraak in software van het bedrijf Kaseya. En al zakte de prijs al snel naar 50 miljoen, als iemand dat bedrag betaalt voor de „universele sleutel” waarmee alle gegijzelde bestanden „binnen een uur” weer beschikbaar zouden worden, dan is het waarschijnlijk nog steeds de grootste slag die de hackersbende REvil in zijn tweejarig bestaan heeft geslagen.

Lees ook dit artikel: Aanval met gijzelsoftware treft meer dan duizend bedrijven

De omvang van de hack tekent de brutaliteit van het vermoedelijk in Rusland gevestigde REvil, dat al vaker in het nieuws kwam met grote en ingrijpende aanvallen. Begin juni incasseerde de bende 11 miljoen dollar van de grootste vleesverwerker ter wereld, het Braziliaanse bedrijf JBS. Dat moest zijn slachterijen in onder meer de Verenigde Staten en Australië enige tijd stilleggen, nadat gijzelsoftware van REvil cruciale computersystemen onklaar had gemaakt. En eerder stal de groep plannen voor nieuwe laptops van Apple van de Taiwanese toeleverancier Quanta, en grote hoeveelheden gevoelige informatie van de Amerikaanse media-advocaat Allen Grubman. In beide gevallen eiste REvil tientallen miljoenen om de gestolen bestanden niet te publiceren. Om die eis kracht bij te zetten, plaatste REvil onder meer contracten en e-mails van zangeres Lady Gaga en de toenmalig Amerikaanse president Donald Trump op het dark web – een gedeelte van internet dat normaliter verborgen blijft.

Grubman betaalde niet, maar volgens een interview met een van de REvil-hackers in oktober vorig jaar door het Russische videokanaal OSINT – waarvan recent een Engelstalige transcriptie werd gepubliceerd door een beveiligingsbedrijf –, deden verschillende klanten van Grubman dat wel, om te voorkomen dat bewijzen van hun belastingontduiking gepubliceerd zouden worden.

Onderzoeker Allan Liska van het Amerikaanse beveiligingsbedrijf Recorded Future denkt niet dat REvil zulke grote slachtoffers bewust uitkiest. Maar anders dan veel concurrenten schuwt de bende geen grote prooien.

„Het zijn gelegenheidsacties”, zegt Liska in een videochat. „Ze kiezen de slachtoffers waar ze binnenraken. Maar andere bendes zullen misschien terugschrikken als ze een al te groot slachtoffer hebben gegrepen, REvil doet dat niet. Ze hebben het gevoel dat ze ermee kunnen wegkomen. Ze opereren buiten bereik van de Amerikaanse autoriteiten, we kunnen er niet met drones op af.” De groep mag daar bovendien graag over opscheppen. „Dat helpt REvil bij de werving van klanten.”

Russische connectie

REvil ontstond in 2019, vermoedelijk als voortzetting van GandCrab, op dat moment de grootste cyberbende. Die kondigde zijn opheffing aan nadat de hackers in anderhalf jaar naar eigen zeggen zo’n twee miljard dollar hadden overgehouden aan hun criminele activiteiten – een bewering die niet te verifiëren is, en vermoedelijk overdreven. Volgens onderzoekers die de gijzelsoftware bestudeerden, kwamen grote delen van de programmacode van REvil met die van GandCrab overeen.

Over de individuele leden van de bende is vrijwel niets bekend. Vermoedelijk wordt REvil geleid door een hacker die op Russische fora bekend is onder de naam ‘UNKN’ of ‘Unknown’. Hij is waarschijnlijk ook degene die het interview aan OSINT heeft gegeven.

Al is het niet onomstotelijk bewezen, de aanwijzingen zijn sterk dat de bende vanuit Rusland opereert: de gijzelsoftware die de groep gebruikt, controleert of het slachtoffer zich bevindt in Rusland of een van zijn bondgenoten, zoals de meeste voormalige Sovjetrepublieken, maar ook Syrië. Het programma kijkt bijvoorbeeld of een getroffen systeem gebruikmaakt van Russische toetsenbordinstellingen en probeert het internetadres van het slachtoffer geografisch te herleiden. Bevindt het slachtoffer zich in Russische invloedsferen, dan schakelt de software zichzelf uit. REvil werkt bovendien alleen samen met cybercriminelen die vloeiend Russisch spreken, en zonder kennis van allerlei Russische slang zijn de conversaties op hun ondergrondse webfora niet te volgen, zegt Liska.

De hackers bieden Ransomware-as-a-Service aan, waarbij criminele klanten de gijzelsoftware van REvil afnemen. Voorheen adverteerde REvil op fora voor cybercriminelen om klanten te werven, maar inmiddels gaat dat alleen nog op uitnodiging, vertelt Liska. „JJe schaft de gijzelsoftware aan bij REvil en zorgt er zelf voor dat je binnendringt in het systeem dat je wil aanvallen om die te installeren. REvil handelt dan de onderhandelingen en de betaling af, en je deelt de buit.” Meestal houdt REvil volgens Liska 15 tot 30 procent van de opbrengst in, de rest gaat naar de opdrachtgever. Wel zo eerlijk, zegt REvil-leider UNKN in het OSINT-interview, „want die doet het meeste werk”. Het zou REvil niettemin zo’n 100 miljoen dollar per jaar opleveren – al denkt Liska dat dat bedrag in werkelijkheid „veel hoger” ligt.

Lees ook dit artikel: Overspelen hackers achter ontwrichtende cybergijzelingen hun hand?

Afpersingsblog

REvil is weliswaar niet bang om grote prooien te belagen, in de Kaseya-hack heeft REvil zich misschien toch verslikt. Aanvankelijk vroegen de aanvallers van ieder individueel slachtoffer een losgeld van 45.000 (voor kleine bedrijven) of 5 miljoen dollar (voor grotere slachtoffers), maar maandag postte REvil op zijn blog op het dark web ineens een ander aanbod: voor 70 miljoen dollar zou de groep een universele sleutel verschaffen, waarmee alle getroffen systemen in één klap ontzet kunnen worden. „Ze zijn een beetje het slachtoffer van hun eigen succes geworden”, denkt Liska. „Als je inlogt op het dashboard waar je als slachtoffer naar wordt verwezen, kom je in een wachtrij terecht. Het duurt soms weken voor een vertegenwoordiger van REvil reageert op je berichten.”

De groep loopt volgens Liska ook weken achter met het posten van berichten op haar afpersingsblog. Daarop verschijnen normaliter snippers gevoelige, gestolen informatie om de druk op de onderhandelingen op te voeren, maar „ze zijn nu pas bij zaken van begin juni”.

Kaseya heeft zich voor REvil ontwikkeld tot een logistieke ramp, denkt hij. „Ze scheppen graag op over de omvang van de inbraak – de grootste ransomware-aanval ooit – maar hun systemen bezwijken.” Eén grote betaling – bijvoorbeeld van een verzekeraar – om de hele zaak snel af te ronden, zou de groep daarom goed uitkomen. In chatgesprekken met vertegenwoordigers van REvil bleek dat over de gevraagde 70 miljoen dollar ook te praten valt: de vraag zou inmiddels zijn gezakt naar 50 miljoen dollar.

De vraag is ook of de hackers met de inbraak bij Kaseya en de eerdere afpersing van JBS niet wat te veel aandacht op zich hebben gevestigd. De Amerikaanse president Joe Biden zei vrijdag in een telefoongesprek met zijn Russische ambtgenoot Poetin dat hij actie van het Kremlin verwacht om de aanhoudende ransomware-aanvallen uit Rusland te stoppen, „ook als die niet door de Russische staat zelf worden uitgevoerd”. Hij herhaalde zijn dreigement dat de VS anders zelf zullen optreden, bijvoorbeeld door bij de aanvallen betrokken computersystemen zelf aan te vallen.

In mei wist de FBI beslag te leggen op de servers en een groot deel van het geïncasseerde losgeld van een andere grote ransomwarebende, DarkSide, nadat die de Amerikaanse brandstofleiding Colonial Pipeline voor 4,4 miljoen dollar had afgeperst. Ook besloot de Amerikaanse Justitie om ransomware voortaan dezelfde opsporingsprioriteit te geven als terrorisme.

„Dit zou een logisch moment kunnen zijn voor de hackers van REvil om eruit te stappen en meer tijd met hun gezin door te brengen”, zegt Liska. „Het kan best zijn dat ze binnenkort hun pensionering aankondigen. Meestal is dat een teken dat de grond ze te heet onder de voeten wordt. Maar meestal duiken ze daarna, net als GandCrab, onder een andere naam weer op.”

Lees ook dit artikel: Als cybercriminelen schieten met hagel