:format(webp)/s3/static.nrc.nl/wp-content/uploads/2021/11/web-0911buirevil.jpg)
Sinds februari zijn in totaal vijf leden van de cyberbende REvil gearresteerd. De laatste arrestatie vond afgelopen donderdag plaats. Dat meldt Europol, het samenwerkingsverband van politiediensten in de Europese Unie, maandag. Samen met twee andere opgepakte cybercriminelen zijn de REvil-hackers volgens Europol verantwoordelijk voor zo’n zevenduizend infecties met gijzelsoftware, waarvoor ze zo’n 200 miljoen euro losgeld vroegen.
Een van de laatst gearresteerde REvil-leden is een Oekraïner, die ervan verdacht wordt te hebben meegewerkt aan de aanval op IT-bedrijf Kaseya begin juli. Indirect trof die aanval 1.500 bedrijven wereldwijd, waaronder de Zweedse tak van supermarktketen Coop. De filialen moesten enkele dagen sluiten.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data73266570-9f7eea.jpg)
In eerste instantie vroeg REvil (dat een afkorting is voor Ransomware Evil) kleine bedrijven 45.000 dollar (omgerekend ongeveer 39.000 euro) en grote bedrijven 5 miljoen dollar (zo’n 4,3 miljoen euro) om de gijzeling op te heffen. Later kondigde de bende aan dat er een universele sleutel was, die alle 1.500 bedrijven „binnen een uur” zou bevrijden. De sleutel kostte 70 miljoen dollar (omgerekend iets meer dan 60 miljoen euro).
In juli stelde Kaseya aan zijn klanten een sleutel beschikbaar die de bestandsgijzeling ongedaan kon maken, kort nadat de cyberbende zelf ineens van het dark web was verdwenen - het verborgen gedeelte van internet waarop REvil opereert. Aanvankelijk was onduidelijk hoe Kaseya aan die sleutel was gekomen. Laten bleek dat de Amerikaanse federale recherche FBI erin was geslaagd binnen te dringen in de systemen van REvil, en daarbij de sleutel had bemachtigd. De FBI kreeg kritiek omdat het daarna drie weken duurde voordat ze de sleutel met Kaseya deelde. Volgens de FBI was dat nodig in het belang van het onderzoek.
De gearresteerde Oekraïner is volgens persbureau AFP een 22-jarige man. Andere hackers werden opgepakt in onder meer Zuid-Korea en Koeweit. Er zijn aanwijzingen dat REvil vanuit Rusland opereert: de bende werkt met een systeem dat zichzelf automatisch uitschakelt als het ziet dat een gijzelsoftwareslachtoffer zich in Rusland bevindt. Op hun webfora is Russisch de voertaal. De Amerikaanse president Joe Biden vroeg in juli aan de Russische president Vladimir Poetin actie te ondernemen tegen de aanhoudende cyberaanvallen vanuit Rusland.