De beruchte hackersgroep REvil lijkt de laatste tijd weer op te duiken. Securityexperts hebben een leak-pagina op het darknet ontdekt, die gelijkenis toont met de praktijken van de opgerolde hackersgroep.

Volgens security-onderzoekers pancak3 en Soufiane Tahiri is er op het darknet een blogpagina opgedoken die nieuwe en oude REvil-aanvallen publiceert. Daarnaast roept de blog op om aan REvil deel te nemen of affilate te worden. Voor deze laatste optie wordt beloofd de door ransomware-aanvallen opgehaalde bedragen 80/20 te delen.

De wederopstanding van REvil zou bijzonder zijn, aangezien de hackers begin dit jaar offline zijn gehaald. Bovendien zou de Russische inlichtingendienst FSB verschillende kopstukken van de hackersorganisatie hebben aangehouden.

Nieuwe aanval

De onderzoekers geven aan dat met het Indiase oliebedrijf Oil India het ‘nieuwe REvil’ ook al een eerste slachtoffer heeft gemaakt. Wanneer dit bedrijf niet betaalt, zullen volgens de hackers contracten, klanteninformatie en verschillende messaging chats openbaar worden gemaakt. In totaal wordt een losgeld van 196 bitcoins (zo’n 7,9 miljoen dollar) geëist.

Niet 100 procent zeker

Of inderdaad een nieuw REvil achter de ransomware-aanval zit, is niet helemaal 100 procent zeker. In hun onderzoek ontdekten de securityexperts ook broncode die naar andere ransomware-aanvallers verwijst. Bijvoorbeeld de hackersgroepen Corp Links en TelsaCrypt. Ook vragen onderzoekers zich af of de blog op het darknet niet wordt ingezet als een scam of een honeypot-omgeving.

In ieder geval blijft waakzaamheid gewenst. REvil was onder meer verantwoordelijk voor de beruchte supply-chain ransomware-aanval op de Amerikaanse softwareleverancier Kaseya.