Il gruppo di cybercriminali russo REvil, responsabile di recenti attacchi ransomware, è sparito dal web. Sono stati chiusi tutti i siti e l’infrastruttura usata per le loro operazioni è stata disattivata. Ciò è accaduto in maniera simultanea, come se qualcuno avesse staccato la spina. Secondo il gruppo rivale LockBit, REvil ha ricevuto l’ordine da un governo, ma non è chiaro se il merito è di Putin.
REvil smantella tutto: torneranno con un altro nome?
REvil è ritenuto responsabile degli attacchi ransomware contro Acer, JBS e Kaseya. Il gruppo di cybercriminali operava attraverso diversi siti, forum e blog, quasi tutti nel dark web. Il sito onion non è più raggiungibile, così come il sito (in chiaro) utilizzato per chiedere i riscatti. L’amministratore del forum XSS ha bannato l’account Unknown di REvil, in quanto potrebbe essere sotto il controllo della polizia.
Secondo il gruppo rivale LockBit, REvil ha smantellato l’infrastruttura dopo aver ricevuto un ordine da un governo, ma l’informazione non è confermata. Non sono chiari al momento i motivi per cui il gruppo è scomparso da Internet. Alcuni ricercatori di sicurezza ipotizzano che sia stata una scelta volontaria per anticipare le mosse del governo russo o degli Stati Uniti. Il Presidente Biden aveva dichiarato che avrebbe fatto di tutto per bloccare questo genere di attacchi, anche senza l’aiuto di Putin.
Anche il gruppo DarkSide, responsabile dell’attacco contro Colonial Pipeline, è scomparso dal web a maggio. REvil è nato dalle ceneri di GandCrab, quindi potrebbe ritornare in attività con un altro nome.