Zaterdag 23/10/2021

AchtergrondCybercriminaliteit

Plotseling is de Russische hackgroep REvil van de aardbodem verdwenen, maar waarom?

null Beeld AP
Beeld AP

De Russische ransomwaregroep REvil lijkt zijn hand te hebben overspeeld. Eerder deze maand sloeg de bende een grote slag, maar ineens zijn alle sporen verdwenen.

Zowel de sites op het darknet (het minder toegankelijke gedeelte van het internet, red.) als de sites op het gewone, openbare internet van REvil zijn sinds dinsdag niet meer te bereiken. Op zijn ‘happy blog’ hield de groep zijn successen bij, inclusief zijn slachtoffers en betaalde bedragen. Ook de gehele technische infrastructuur van de groep is ontmanteld.

REvil (afkorting van (Ransomware Evil) is al een tijd actief, maar kwam de laatste tijd groot in het nieuws. Eerst met de aanval op de vleesverwerker JBS en begin deze maand via de hack van duizenden bedrijven wereldwijd. Dit gebeurde door gijzelsoftware te verspreiden via een onontdekte zwakke plek bij het softwarebedrijf Kaseya. Ict-dienstverleners gebruiken software van dit bedrijf om op afstand klanten te helpen.

Via de geavanceerde hack bij Kaseya kwam de gijzelsoftware bij al die andere bedrijven terecht. JBS betaalde uiteindelijk miljoenen losgeld om weer bij zijn data te kunnen. Voor het in één klap vrijgeven van de systemen van de duizenden andere bedrijven vroegen de criminelen in eerste instantie 70 miljoen dollar.

Lucratief

Net als veel andere groeperingen werkt REvil volgens een lucratief bedrijfsmodel dat bekend staat onder de naam Ransomware as a Service (RaaS). REvil zorgt voor het geavanceerde hackgereedschap en biedt dat, inclusief service, aan op het darknet aan andere groeperingen. Het is lastig na te gaan welke groepering daadwerkelijk de aanval heeft uitgevoerd. REvil krijgt een percentage van het losgeld dat bedrijven betalen om weer bij hun systemen te komen.

Lees ook

Zelfs de supermarkt is doelwit van Russische hackers: ‘Een van de ingrijpendste aanvallen ooit’

Er bestaan verschillende theorieën over wat er nu met REvil aan de hand is. Het is mogelijk dat de Russische autoriteiten na de dreigende taal van de Amerikaanse president Joe Biden vorige week, nu daadwerkelijk zelf hebben ingegrepen. Dat zou verrassend en snel zijn en bovendien niet conform de lakse houding die Rusland al jaren inneemt waar het de bestrijding van cybercriminelen op eigen grondgebied betreft.

Sleutels

Een andere mogelijkheid is dat de infrastructuur van de groep door de Amerikaanse diensten is kapotgemaakt. Ook dat lijkt niet erg waarschijnlijk. Vele Amerikaanse bedrijven zijn immers getroffen door de Kaseya-hack waardoor hun systemen zijn versleuteld. De sleutels om die systemen van het slot te halen, bevinden zich in de infrastructuur van REvil. Als de Amerikaanse diensten deze saboteren, wordt de kans dat de getroffen Westerse bedrijven weer bij hun gegevens kunnen aanzienlijk verkleind.

Ook kan het zijn dat REvil zich plotseling zelf heeft teruggetrokken en al zijn sporen heeft vernietigd. Ransomwaregroepen doen dit wel eens om zo de pakkans te verkleinen. Ze verdwijnen van de aardbodem en gaan op in andere of nieuwe groepen. Daardoor maken ze het opsporingsdiensten lastig. Een deel kan er ook met de buit vandoor gaan en definitief afscheid nemen van het criminele circuit.

Rode knop

Deze theorie wordt enigszins ondersteund doordat REvil-gebruikers verbannen zijn van een bekend cybercrime-forum op het darkweb, zegt digitaal expert Frank Groenewegen van Deloitte. “Die fora fungeren vaak als een soort vertrouwenspersoon en ze bewaren de bitcoins tijdelijk in een kluis zodat de partijen die samenwerken met REvil weten dat ze altijd betaald krijgen.” Zo’n forum fungeert dus als soort notaris.

Maar Groenewegen acht een ander scenario waarschijnlijker. “Het is ook mogelijk dat REvil sporen van een Amerikaanse infiltratie heeft gezien en in paniek op de rode knop heeft gedrukt.” Amerikaanse opsporingsdiensten zouden in dat scenario op zoek zijn gegaan naar bewijs en identificeerbare sporen, wat REvil heeft opgemerkt. “Als dat was gelukt, stond REvil voor paal. Daarop hebben ze wellicht alles verwijderd.” Het zou in ieder geval verklaren waarom de hele infrastructuur in één klap verdwenen is.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234