Yang dapat kami katakan dengan pasti adalah bahwa pukulan mematikan terhadap REvil terjadi pada hari Jumat 14 Januari 2022, ketika agen-agen dinas keamanan negara FSB Rusia, bekerja bersama dengan Departemen Investigasi Kementerian Dalam Negeri Rusia , melakukan penggerebekan di Moskow, St Petersburg, dan Lipetsk – sebuah kota kecil sekitar 420 kilometer selatan Moskow. otoritas AS yang kompeten” yang telah berbagi dengannya rincian pemimpin REvil dan keterlibatannya dalam serangan ransomware.
Agen tersebut mengatakan telah membentuk “komposisi lengkap” dari REvil geng dan mendokumentasikan secara menyeluruh sejauh mana kegiatannya. Itu menuduh mereka telah mengembangkan perangkat lunak berbahaya, mengatur pencurian dana dari rekening bank di luar Rusia, dan menguangkan keuntungan mereka. FSB menggerebek 25 alamat yang terhubung dengan 14 anggota geng REvil dan memulihkan lebih dari 426 juta rubel, termasuk $600.000 dan €500.000 dalam cryptocurrency, dompet crypto terkait, peralatan komputasi, dan – seperti yang telah menjadi hal biasa dalam penggerebekan tersebut – sejumlah kendaraan mewah. Selanjutnya, delapan dari mereka yang ditangkap telah didakwa dengan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Rusia, yang berkaitan dengan peredaran ilegal alat pembayaran. Kantor berita Rusia TASS menyebut dua orang ini sebagai Roman Muromsky dan Andrey Bessonov. Menurut Reuters, Muromsky dikenal sebagai pengembang situs web yang berspesialisasi dalam situs bisnis kecil.
Beberapa dari mereka mengkritik kelompok REvil karena mereka pikir mereka terlalu menonjol dan menargetkan perusahaan yang sangat kuat Ziv Mador, Trustwave Spiderlabs “Dalam salah satu komentar, salah satunya mengingatkan semua orang betapa sulitnya kondisi di penjara Rusia, dia bahkan mengatakan lebih baik menjadi di penjara AS daripada penjara Rusia. Jadi mereka tahu bahwa jika mereka masuk penjara, itu akan sangat sulit, dan itu membuat mereka takut, ”kata Mador. Ada juga kemarahan yang ditujukan pada REvil sendiri, dengan satu pengguna forum web gelap yang marah menyebut mereka “orang goofball serakah” yang menyerang “tanpa pandang bulu tanpa pemahaman”. Yang lain berkata: “Perlu untuk berpikir sebelum mendaki dan mengenkripsi perusahaan, sekolah, negara bagian bernilai miliaran dolar. Dengan siapa mereka berani bersaing?”. Poster forum ketiga merenung: “Menjadi superstar di industri kami adalah ide yang sangat buruk.” “Beberapa dari mereka mengkritik grup REvil karena mereka pikir mereka juga ikut. profil tinggi dan menargetkan perusahaan yang sangat kuat. Ketika Anda memiliki dampak yang begitu besar, Anda menjadikan diri Anda target, itulah yang terjadi,” kata Mador.Hari-hari bahagia datang lagi Kolaborasi antara AS dan Rusia dalam membawa REvil ke heel, pada pandangan pertama, disambut baik setelah bertahun-tahun permusuhan antara dua kekuatan di dunia maya dan hal-hal lain, tetapi mungkin terlalu dini untuk mengatakan apakah penangkapan itu menjadi preseden untuk kerja sama di masa depan, seperti Bert Steppé, peneliti senior di F- Unit Pertahanan Taktis Secure, menunjukkan. Steppe meramalkan dua skenario – satu di mana penangkapan hanya dilakukan satu kali, dan yang lain di mana mereka memulai awal yang lebih lama. -Jangka kerjasama antara AS dan Rusia pada isu-isu cyber. “Saya harap ini yang terakhir, karena saya percaya itu satu-satunya cara untuk mengatasi geng kejahatan dunia maya yang terorganisir dengan baik,” katanya. tahan napas Anda untuk kedamaian pecah. “Penangkapan oleh negara Rusia terhadap pelaku kejahatan siber internasional sebagian besar belum pernah terjadi sebelumnya,” kata Toby Lewis, kepala analisis ancaman di Darktrace. “Meskipun ini mungkin menunjukkan titik balik penting dalam upaya internasional untuk melawan ransomware… akan terlalu dini untuk menganggap ini sebagai awal dari kerja sama yang lebih besar, daripada manuver politik jangka pendek.” Kepala ilmuwan keamanan dan penasihat CISO ThycoticCentrify, Joseph Carson, dengan cepat memulai pembicaraan tentang pecahnya perdamaian dan kerja sama antara Rusia dan AS. “Kami berada dalam perang dingin dunia maya sekarang. Itu adalah kenyataan. Cyber adalah senjata yang telah digunakan,” katanya.
Dengan situasi geopolitik regional di Eropa Timur yang masih sangat bergejolak dan tidak stabil sehubungan dengan agresi Rusia yang sedang berlangsung terhadap Ukraina, beberapa komentator berspekulasi tentang hubungan antara tindakan FSB dan negosiasi yang kacau antara Moskow dan Washington DC. terhadap target utama pemerintah Ukraina, meskipun tindakan ini tidak terkait dengan geng ransomware yang diketahui. dari krisis? Carson mengakui bahwa sementara waktunya mungkin menaikkan alis, itu hampir pasti sesuatu yang lain. “Ketika Anda memiliki situasi politik seperti sekarang di Ukraina, bersama dengan target serangan dunia maya terhadap Ukraina, dan pada waktu yang hampir bersamaan pencopotan geng ransomware yang terkenal dan terkenal, mau tak mau Anda membuat asumsi bahwa waktunya terhubung banyak orang mencoba untuk membuat koneksi. Tapi saya tidak yakin itu terhubung,” katanya. Carson mengacu pada hubungan yang diketahui antara geng kejahatan dunia maya dan kelompok APT yang didukung negara, yang telah di masa lalu ternyata terkait erat, untuk menunjukkan bahwa apa yang sebenarnya memotivasi tindakan FSB sebenarnya adalah upaya untuk membawa pasukan tentara bayaran cyber Rusia sendiri di bawah kendali. “ Bukannya mereka [Russia] mengambil sikap terhadap ransomware – mereka menunjukkan kepada kelompok ransomware lain bahwa mereka harus tetap sejalan. Beroperasi, tetapi jangan sampai ketahuan, jangan sampai infrastruktur penting Anda diretas, jangan ungkapkan informasi penting tentang koneksi dan asosiasi,” katanya.
Pukulan bagi geng ransomware Ini bukanlah akhir dari geng ransomware profil tinggi, meskipun kami mungkin secara tentatif menantikan periode pengurangan karena penjahat cyber mencari tahu apa yang harus dilakukan selanjutnya. F-Secure’s Steppé mengatakan: “Saya menduga bahwa geng-geng ini akan lebih berhati-hati dengan target mereka, dan [will] menahan diri dari menyerang apa pun yang mungkin akan menyebabkan dampak besar, misalnya Colonial Pipeline, atau menarik banyak perhatian media, karena misal Kaseya, sampai jelas apakah penangkapan REvil itu hanya sekali atau tidak. Jadi, ya, saya pikir terlalu dini untuk mengatakan apa dampak jangka panjangnya.” Lewis di Darktrace mengatakan: “Penangkapan yang telah kita lihat sebelumnya memiliki dampak taktis yang layak terhadap kelompok individu, tetapi pasar yang berkembang untuk layanan kriminal, dan daftar kelompok yang terlibat dalam ransomware yang terus meningkat, berarti bahwa dampak melalui penangkapan seringkali hanya jeda jangka pendek.”
Pasar yang berkembang untuk layanan kriminal…berarti bahwa dampak melalui penangkapan seringkali hanya jeda jangka pendekToby Lewis, Darktrace “Saya tidak berpikir ini adalah kemenangan yang terkenal. Ada lebih banyak kelompok kriminal di luar sana,” tambah Carson dari ThycoticCentrify, yang menunjuk pada jumlah kelompok kriminal dunia maya yang muncul dalam 12 bulan terakhir saja, yang telah melampaui, dengan margin tertentu, jumlah yang telah diturunkan. “Saya tidak berpikir kami mengurangi jumlah geng di luar sana, meskipun kami mungkin membuat banyak geng yang lebih kecil.”
Satu titik terang bagi para korban adalah kemungkinan bahwa FSB telah menyita dan dapat melepaskan kunci dekripsi utama – kunci tersebut sudah tersedia dari Bitdefender, tetapi tidak akan bekerja untuk setiap korban. Lewis mengatakan keberadaan kunci tersebut, atau siapa yang memilikinya, masih belum diketahui jumlahnya. “Profesional keamanan siber dan korban REvil sama-sama akan dengan bersemangat mengantisipasi apakah FSB mampu merebut pasangan kunci utama yang akan mampu mendekripsi semua data yang sebelumnya telah dicuri REvil,” katanya. “Ini juga akan menjadi pertanyaan yang ingin dijawab oleh para korban saat ini yang mungkin sedang bernegosiasi dengan REvil pada saat penangkapan mereka.”
Fokus pada ketahanan Satu hal adalah yang pasti, geng ransomware yang tidak langsung ketakutan akan segera mengubah taktik, teknik, dan prosedur (TTP). “Untuk para profesional keamanan di luar di sana, kenyataannya adalah penjahat berikutnya sedang menunggu untuk menerkam. Penyerang berikutnya ada di luar sana dan mereka akan memiliki teknik yang lebih efektif dan perangkat lunak ransomware yang lebih sukses,” kata Carson. “Kelompok kriminal belajar dari kesalahan masa lalu dan mereka berkembang untuk memastikan mereka sukses di masa depan.” Dalam beberapa bulan mendatang, Carson menyoroti sejumlah skenario yang mungkin berjalan di bawah tanah kriminal dalam menanggapi pencopotan REvil, salah satunya adalah bahwa geng ransomware – waspada terhadap konsekuensi pencurian besar REvil – akan mencari kontrol lebih besar atas siapa target mitra dan afiliasi mereka. Ini akan memacu pengembangan berkelanjutan dari model langganan ransomware-as-a-service, dengan jenis baru yang bahkan dapat menyertakan daftar target ‘izinkan’ dan ‘tolak’ dalam kode mereka. Untuk CISO dan tim mereka, saran inti untuk saat ini tetap fokus pada ketahanan dalam menghadapi evolusi ransomware yang diantisipasi, dan khususnya menerapkan strategi pencadangan yang sesuai untuk tujuan yang telah diuji dan siap untuk serangan ransomware, sehingga situasi di mana Anda harus mempertimbangkan untuk membayar uang tebusan dihindari, dan yang dapat memulihkan data dengan cepat dan efektif.
Meskipun ini tidak menyelesaikan masalah pemerasan ganda data kebocoran, itu adalah langkah ke arah yang benar dan dapat berarti perbedaan antara ketidaknyamanan kecil dan insiden besar.