Ineens zijn ze weg... Beruchte Russische cyberbende REvil online verdwenen

Het moment van het verdwijnen van REvil is opvallend. De afgelopen weken oefende de Amerikaanse president Joe Biden namelijk flinke druk uit op de Russische president Vladimir Poetin om iets aan de cybercriminelen te doen die onder meer vanuit zijn land werken. Biden dreigde vorige week nog online in te grijpen, valt te lezen in het AD.

REvil is een Russische bende die zo'n twee jaar actief is met ransomware en al miljoenen dollars losgeld buitmaakte. Vorige week kreeg de groep weer eens wereldwijde aandacht door een cyberaanval via software van het Amerikaanse bedrijf Kaseya. Software van dat bedrijf wordt door IT-bedrijven gebruikt om de computersystemen van ondernemingen op afstand te kunnen onderhouden.

Via de IT-bedrijven die de Amerikaanse software gebruiken, raakten wereldwijd 1500 organisaties besmet met gijzelsoftware. REvil eiste in eerste instantie 70 miljoen dollar voor de sleutel om de systemen te ontgrendelen, maar schroefde die eis al snel terug naar 50 miljoen. Door snel ingrijpen van de Nederlandse vrijwilligersorganisatie DIVD, lijkt de schade door de aanval onder meer in Nederland mee te vallen.

Ongekende diplomatieke druk door Biden

Het is in het licht van recente, diplomatieke ontwikkelingen niet uit te sluiten dat de VS de criminelen online hebben aangepakt, of dat de Russische president Poetin zich tegen REvil heeft gekeerd. De cyberbende is vorige week flink onder druk gezet doordat de Amerikaanse president Biden de Russische president Poetin opriep om cybercriminelen in zijn land aan te pakken. Biden dreigde zelfs met Amerikaans ingrijpen als Rusland dat de komende weken nalaat.

DarkSide viel Colonial Pipeline aan

Begin juni sprak Biden Poetin in Zürich op een internationale topconferentie ook al aan op het feit dat Russische criminelen online ogenschijnlijk geen strobreed in de weg wordt gelegd in hun eigen land. Een ransomware-aanval op 31 mei door REvil op Amerikaanse computersystemen van de grote, Braziliaanse vleesverwerker JBS en vlak daarvoor een aanval door de Russische bende DarkSide op het Amerikaanse bedrijf Colonial Pipeline, brachten in Amerika heel wat teweeg: brandstofprijzen liepen flink op en bij benzinestations stonden urenlange rijen. President Biden riep ransomware uit tot terreurdaad.

Bendes die toeslaan met ransomware zijn wel eens vaker even offline om hun zaken op orde te brengen, maar er kan in dit geval iets bijzonders spelen, zegt expert Dave Maasland van cyberveiligheidsbedrijf ESET Nederland. ,,Gezien alles wat er nu gebeurt tussen Poetin en Biden is het moment erg opvallend.” Daarnaast is REvil normaal gesproken een erg mondige bende, brutaal en aanwezig, zegt Maasland. ,,En een paar van de medewerkers van REvil zijn wel eens actief op fora, maar zijn nu ook al een tijdje stil.”

Daarnaast zijn volgens de New York Times ook de websites verdwenen waar de criminelen met de getroffen bedrijven over het losgeld onderhandelden. ,,Het lijkt er op dat de website nog in handen is van dezelfde eigenaren”, zegt cybersecurityexpert Frank de Korte van het bedrijf Northwave. De website van REvil lijkt technisch gezien niet bruut uit de lucht te zijn gehaald - wat meer zou passen bij ingrijpen door een politiedienst -, maar ‘het is heel erg speculeren’. ,,Wellicht verplaatsen ze hun boeltje naar een ander land waar ook Rusland er niet bij kan. Mijn gevoel zegt dat ze zich over een paar dagen weer laten zien.”

Cybercrimebende REvil heeft problemen

,,Biden zei ‘tot hier en niet verder’. Dat is een heel sterk signaal”, zegt cyberveiligheidsexpert Frank Groenewegen van Deloitte. Ook hij houdt rekening met meerdere scenario’s, maar beaamt dat de timing van de verdwijning van REvil erg opvallend is. ,,Maar het kan verschillende redenen hebben. Misschien hebben ze gezien dat een hacker in hun infrastructuur zat en hebben ze uit veiligheidsoverwegingen de stekkers eruit getrokken. Maar als ze problemen hebben door bijvoorbeeld de FBI, dan zouden de Amerikanen nu wel hun macht hebben laten zien. Elke cybercriminele groepering denkt nu wel: ‘wat is hier aan de hand?’. Het is in elk geval goed om te zien dat REvil problemen heeft.”

De recente, Amerikaanse druk sluit aan bij eerdere inmenging door de FBI. Het bedrijf Colonial Pipeline betaalde de hackers van DarkSide in mei 4,4 miljoen dollar om weer toegang te krijgen tot haar systemen. 2,3 miljoen dollar werd door de FBI opgespoord en teruggehaald. DarkSide liet daarna weten door de druk vanuit de VS de criminele activiteiten te staken.