L’FBI crea il suo cavallo di Troia e sconfigge il gruppo ransomware REvil: ecco com’è accaduto

Il diavolo e l’acquasanta. Una brutta botta per gli hacker, un toccasana per tutti gli utenti. Secondo tre esperti informatici del settore privato che lavorano con gli Stati Uniti e un ex funzionario, il noto gruppo di ransomware REvil è stato hackerato e costretto a passare offline da questa settimana, grazie un’operazione congiunta in più paesi.

Lo rivela la Reuters, secondo cui l’attacco al gruppo con base in Russia ha utilizzato un software di crittografia chiamato Darkside, sviluppato dagli alleati di REvil. Tom Kellerman, capo della strategia di sicurezza informatica di VMWare (VMW.N), ha affermato che il personale delle forze dell’ordine e dell’intelligence ha impedito al gruppo di dare la caccia ad altre società.

“L’FBI, insieme al Cyber Command, al Secret Service e a nazioni affini, è coinvolta in significative azioni di disturbo contro questi gruppi – continua Kellerman, consulente dei servizi segreti statunitensi per le indagini sui crimini informatici – REvil era in cima alla lista”.

Decisivo l’attacco di Kaseya. Da lì è partita la rivincita dell’FBI

Una figura di leadership nota come “0_neday”, che in precedenza aveva già aiutato a riavviare le operazioni del gruppo dopo l’arresto, ha affermato che i server di REvil erano stati violati da una parte non identificata. “I server sono stati compromessi e mi stavano cercando – ha postato questo fantomatico 0_neday su un forum sulla criminalità informatica – buona fortuna a tutti; sono fuori”.

Il governo degli Stati Uniti ha mandato al tappeto il malefico Revil, una delle dozzine di bande di ransomware che lavorano con gli hacker per paralizzare le aziende di tutto il mondo.

Decisivo l’attacco di Kaseya dello scorso luglio, definito “il più grande della storia” perché la società si occupa di software per la gestione da remoto, e a cascata il ransomware si è esteso ai supermercati Coop svedesi, comprese una catena di farmacie in 17 Paesi. Ma lì però, l’FBI è riuscita ad ottenere una chiave di decrittazione universale che ha permesso alle persone “infettate” da Kaseya di recuperare i propri file senza pagare un riscatto. Così, gli esperti informatici di Intelligence sono stati in grado di hackerare l’infrastruttura della rete di computer di REvil, ottenendo il controllo di almeno alcuni dei loro server.

“La banda del ransomware REvil ha ripristinato l’infrastruttura dal backup presumendo che non fosse stata compromessa – spiega Oleg Skulkin, vice capo dei laboratori forensi presso la società di sicurezza a guida russa Group-IB – ironicamente, la tattica preferita del gruppo di compromettere il backup, gli si è ritorta contro”. I backup sono una delle difese più importanti contro gli attacchi ransomware, ma devono essere tenuti scollegati dalla rete principale per non essere crittografati. L’agenzia Reuters ipotizza anche la possibilità dell’arresto di alcuni dei responsabili.