Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana di Maggio

Il CERT-AGID la scorsa settimana ha individuato e analizzato, attive nello spazio italiano, 44 campagne dannose tutte mirate contro utenti italiani. Le campagne finalizzate alla distribuzione di malware sono state 21 e hanno portato alla diffusione di 9 famiglie malware.  

• Emotet è di nuovo il malware più diffuso in Italia, con 8 campagne tutte a tema Resend. Le email veicolavano allegati ZIP coperti da password contenenti file LNK e XLS;

Op #Panopticon: gli hacker russi vanno alla guerra con Anonymous e scelgono l'Italia per darsi battaglia. Probabili attacchi a Poste Italiane e altri

Lo avevano annunciato alcuni giorni fa, dopo lunghe schermaglie con Anoymous: KillNet e il suo gruppo operativo Legion inondano l'Italia di attacchi DDoS. Poste Italiane e Polizia di Stato potrebbero già essere stati colpiti. Ma Poste Italiane smentisce. 

KillNet va alla guerra e annuncia il "punto di ritrovo": ore 5 in Italia

Il 28 maggio il gruppo hacker russo Killnet pubblica sul proprio canale Telegram un messaggio chiarissimo: 

30 Maggio - h 5.00 - il punto di ritrovo è l'Italia. 

E' l'ennesimo, preannunciato attacco contro le infrastrutture italiane, ormai divenute il terreno di scontro tra KillNet, Legion e altri collettivi hacker russi e Anonymous. Manco a volerlo, la guerra tra i due collettivi si sta scatenando proprio nel nostro Stato. KillNet aveva iniziato ad attaccare in Italia dopo che i giornali italiani avevano attribuito loro l'attacco al sito web dell'Eurovision Song Festival. Fatto da loro seccamente smentito. 

Poche ore dopo, dopo averci dichiarato guerra, il collettivo decideva di colpire il sito della Polizia di Stato. A questi attacchi si frapponeva Anonymous, che già da tempo ha lanciato l'operazione #OpRussia, bersagliando di attacchi le banche, le istituzioni, i media russi. Ecco qui il primo "incrociare di spade" digitale e che ora si presenta come una guerra che schiera e contrappone due armate hacker l'una contro l'altra sul campo di battaglia "Italia". 

Per saperne di più > Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all'Armata IT Ucraina

KillNet lancia l'operazione Panopticon

Al contrario delle scorse volte, KillNet non ha reso pubblica la lista dei siti web sotto attacco.  Ma l'operazione è stata preceduta dai soliti messaggi minatori, dalle esortazioni ai collaboratori ad essere pronti ad "un turno di attacchi che durerà 5 giorni" e da molte minacce e sfottò contro "Fake Anonymous". Così infatti il collettivo KillNet apostrofa l'attuale composizione di Anonymous, colpevole di "non rappresentare più lo spirito" che il celeberrimo collettivo di hacker aveva incarnato fino a 10 anni fa.

L'operazione di stanotte è stata definita #OpPanopticon e già dal 25 maggio KillNet e Legion si sono messi a fare reclutamento per ampliare le fila dei partecipanti alla cyber war contro il nostro stato.

Data Breach Investigations Report 2022: aumentano gli attacchi ransomware preceduti da furto dati. Nel mirino del cyber crimine anche le micro imprese

E' disponibile l'edizione 2022 del Data Breach Investigations Report (DBIR) di Verizon: certifica nero su bianco l'aumento di attacchi ransomware. Confermata la tendenza ad anticipare la distribuzione del ransomware con l'esfiltrazione massiva dei dati. 

Data Breach Investigations Report (DBIR) di Verizon: + 12% di attacchi ransomware

Il 24 Maggio Verizon ha pubblicato il suo report annuale Data Breach Investigations Report (DBIR), con una panoramica molto interessante dei cyber attacchi registrati negli ultimi 12 mesi. 

Sono stati osservati nel corso dello studio, 24.00 attacchi malware. Parlando di ransomware, i dati sono impietosi

• + 13% di attacchi ransomware negli ultimi 12 mesi. E' una crescita più grande di quella registrata negli ultimi 5 anni messi assieme
• gli attacchi ransomware rappresentano il 25% del totale dei data breach. 5200 attacchi ransomware sono risultati infatti anche una violazione e furto dei dati. Una crescita importante.

Fonte: Data Breach Investigations Report (DBIR) di Verizon

sLoad nuovamente in diffusione via PEC: info e come eliminare il trojan rubadati

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonché uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

sLoad: il "pirata" del circuito PEC

sLoad viene diffuso a cadenza quasi settimanale con diverse tipologie di campagne email quasi esclusivamente tramite circuito PEC e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa. 

E' tra quei malware che viene costantemente contrastato dal CERT assieme ai provider di email PEC: un'operazione dovuta vista la necessità che il circuito PEC si mantenga sicuro. E' anche uno dei malware che più spesso mira alla Pubblica Amministrazione. 

Per fare un esempio concreto, la scorsa settimana il CERT ha contrastato l'ennesimo tentativo di diffusione nel circuito PEC: sul canale Telegram del CERT è stata pubblicata l'email incriminata, visibile sotto

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Maggio

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose. Ormai si può dire che sono tutte mirate contro gli utenti italiani: una sola di queste, infatti, è stata generica ma veicolata anche nello spazio italiano, mentre tutte le altre sono state mirate. 

Le famiglie malware individuate in diffusione sono state 7, diffuse con 22 campagne. Capofila Emotet, che torna a primeggiare nel panorama delle cyber minacce contro gli utenti italiani:

• Emotet è stato diffuso con 14 campagne italiane. I temi sono stati Resend e Documenti. Le email allegavano archivi ZIP protetti da password, contenenti file LNK o XLS. Le campagne hanno riguardato sia utenti privati che pubbliche amministrazioni;
• Coper è stato individuato in diffusione con due campagne mirate contro utenti INPS e Intesa SanPaolo. I messaggi via SMS contenevano un link per installare un APK dannoso: un'app fake che in realtà cela il trojan bancario Coper;
• Qakbot è stato in diffusione con due campagne mirate a tema Resend. Le email contenevano il link per il download di un archivio ZIP: al suo interno un file LNK;
• Formbook è stato diffuso con una sola campagna mirata a tema Ordine. Le email veicolavano allegati ZIP;
• Ursnif è stato diffuso con una campagna a tema Documenti. Le email veicolavano il classico documento XLSX con macro dannosa;
• sLoad è stata di nuovo diffusa via PEC in email a tema Pagamenti. Le email contenevano allegati ZIP con all'interno, un ulteriore ZIP. Estratto quest'ultimo, si trova il vile VBS dannoso. Questa campagna è stata contrastata dal CERT in collaborazione coi provider PEC;
• AgentTesla è stato diffuso con una campagna a tema Ordine. L'email veicolava il classico allegato XLSX con macro dannosa.

Per approfondire > Alert del CERT: il banking trojan Coper sbarca in Italia

QakBot in breve:

Buone notizie: il ransomware Conti chiude i battenti

La famosa e infausta operazione malware Conti, ben nota per aver fatto migliaia di vittime anche in Italia, interrompe ogni attacco. Il gruppo si sfalda, ma i capi si alleano con gruppi più piccoli. 

Conti dà l'annuncio ufficiale: stop alle operazioni

Il famoso gruppo ransomware Conti ha sospeso le proprie operazioni: la sua infrastruttura è stata messa offline e i capi del gruppo hanno dichiarato che il brand non esisterà più. 

La notizia è stata confermata dal ricercatore Yelisey Boguslavskiy, che sul proprio profilo Twitter ha annunciato che l'infrastruttura interna del Ransomware as a Service è stata messa offline. Il ricercatore ha fatto sapere che continua la pubblicazione dei dati delle vittime sotto ricatto tramite il site leak del gruppo e anche i siti per la negoziazione dei riscatti sono ancora online, ma i pannelli di amministrazione su Tor usati dai vari affiliati per condurre trattative e pubblicare poi i dati rubati sono stati messi offline. 

Lo shut down avviene dopo che la Costa Rica ha dichiarato emergenza nazionale dopo l'attacco di Conti

Alert del CERT: il banking trojan Coper sbarca in Italia

In circolazione già dal 2021, Coper è una nuova famiglia di trojan bancari pensati per i dispositivi che eseguono Android. Ha una architettura a più moduli che consente di implementare più funzionalità. Ora il CERT lancia l'allarme: Coper è arrivato in Italia. 

Il CERT individua Coper in diffusione in Italia

L'annuncio è di qualche giorno fa: "durante le attività di monitoraggio", si legge nell'alert "il CERT ha individuato due campagne di phishing rivolte ad utenti INPS e Intesa Sanpaolo". Insomma il malware è stato individuato in the wild, in diffusione e in uso in attacchi reali. 

Entrambi i domini usati nelle campagne, spiegano gli esperti del CERT, oltre alla consueta pagina di phishing ospitavano anche un file APK. Una volta analizzato, questo è risultato essere una variante della famiglia di trojan bancari Coper, della quale ancora non si erano registrati tentativi di diffusione in Italia. 

La pagina di phishing che sfrutta i riferimenti dell'INPS. Fonte: https://cert-agid.gov.it

Italia colpita da un'ondata di attacchi DDoS: il governo vara la Strategia nazionale di cyber sicurezza 2022-2026

Mentre i gruppi hacker KillNet e Legion hanno scatenato una vera e propria ondata di attacchi DDoS contro l'Italia, il Comitato interministeriale per la Cybersicurezza ha varato la  Strategia nazionale di cybersicurezza 2022-2026.

La Polizia di Stato è stata solo l'inizio...

almeno così minacciano dal proprio canale Telegram i gruppi hacker russi Legion e KillNet. Si, sono gli stessi che qualche giorno fa hanno lanciato una prima ondata di attacchi DDoS contro i siti web del Senato, del Ministero della Difesa, dell'Istituto superiore di sanità ecc...

Per saperne di più > Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all'Armata IT Ucraina

Da quella prima ondata di attacchi DDoS contro l'Italia ne sono susseguiti migliaia. Poche ore dopo un attacco DDoS colpisce l'Eurovision Song Festival Torino. La Polizia di Stato italiana dichiara di aver sventato gli attacchi, ma KillNet si smarca dall'accusa di aver attaccato Eurovision.

La situazione da quel momento inizia a peggiorare. Dopo aver fatto girare sulla community Telegram molti articoli della stampa italiana che attribuivano loro la paternità dell'attacco all'Eurovision, il gruppo dichiara guerra ai media italiani e spagnoli
 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Maggio

La scorsa settimana il CERT-AGiD ha individuato e analizzato 57 campagne dannose: è quasi record (negativo, purtroppo) e sicuramente una netta "inversione a U" dato che nella 1° settimana di Maggio c'era stata addirittura una riduzione vistosa delle campagne contro l'Italia. Si registrava, in effetti, l'assenza di campagne di distribuzione di Emotet che invece è tornato in grande spolvero. Delle 57 campagne individuate, 54 sono state mirate contro gli utenti italiani e solo 3 sono state generiche. 

Le campagne malware analizzate sono state 16 e hanno distribuito 7 famiglie malware:

Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all'Armata IT Ucraina

Nel tardo pomeriggio di ieri un attacco informatico su vasta scala ha colpito molti siti governativi italiani. Dietro agli attacchi DDoS i gruppi russi KillNet e Legion insieme ai gestori della botnet Mirai, dopo il reclutamento su canali Telegram di volontari. Una risposta all'armata di "hacker" ucraini lanciata dal governo ucraino e gestita dalla startup Hacken.

L'italia sotto attacco DDoS: giù per qualche ora il sito del Senato

Intorno alle 17.00 di ieri, Mercoledì 11 maggio, l'Italia è stata investita da una ondata di attacchi DDoS. Contemporaneamente finivano sotto attacco siti governativi tedeschi e polacchi. La prima vittima a fare notizia è il sito del Senato, che finisce in down per qualche ora

Fonte: Red Hot Cyber

Poco dopo si ha notizia di altre vittime: il Ministero della Difesa, l'istituto Superiore di Sanità, l'ACI, Kompass, IMT di Lucca ma anche il portale dell'Eurovision Song Contest di Torino ecc...  Va detto che i siti web sotto attacco sono tornati online dopo poche ore, escluso il sito dell'ACI. 

Siamo di fronte all'escalation, anche cyber, della guerra tra Russia e Ucraina che, come potevamo attenderci, si sta allargando oltre i confini dei due paesi.

L'attacco DDoS contro Italia, Polonia e Germania è stato rivendicato dal gruppo Legion, vicino alla Russia. 

I gruppi KillNet e Legion il reclutamento di cyber guerrieri online

Ransomware: Italia prima in Europa per numero di attacchi nel mese di Marzo

Il report Trend Micro Research è impietoso: l'Italia è la nazione maggiormente bersagliata dagli attacchi ransomware (e malware) in Europa. 

Attacchi ransomware e malware nel mondo: qualche dato sul mese di marzo

I dati telemetrici degli esperti di cyber security di Trend Micro proiettano ombre inquietanti sullo stato della cyber sicurezza nel mondo e, soprattutto, sulla sempre maggiore (e raffinata) aggressività del cyber crime mondiale.Un dato su tutti, per cominciare: nel solo mese di Marzo il numero totale di ransomware intercettati nel mondo è stato di 2.471.000. Si, due milioni di attacchi ransomware in un mese. Il primato del maggior numero di attacchi ransomware subiti spetta, nella classifica mondiale, al Giappone che ha subito circa il 20% degli attacchi totali. Seguono gli Stati Uniti con il 13,05%, quindi il Messico (8,20%). 

In termini, invece, di malware il Giappone è ancora lo Stato più colpito, con oltre 128.000.000 di attacchi malware a Marzo, seguito dagli Stati Uniti con 87.000.000 di attacchi malware, quindi l'India con 18.300.000 circa. 

Il triste primato Italia: 1° per attacchi ransomware in Europa, 5° per attacchi malware al mondo

Ransomware: Lockbit 2.0 registra cifre da capogiro. Più di 12.000 vittime per oltre 1 miliardo di dollari di profitto

Lockbit 2.0 è ormai divenuto tragicamente popolare, nel mondo e in Italia. In Italia è stato protagonista di centinaia di attacchi contro aziende ed enti governativi (soprattutto sanitari), nel mondo colpisce aziende, governi, scuole, ospedali e chi più ne ha più ne metta. I numeri, vittime e guadagni, concretizzano quanto diciamo da un pò: LockBit 2.0 è uno dei principali cyber avversari col quale confrontarsi. 

Lockbit 2.0: le vittime italiane

ASP Messina, Ingew, Jannone, Farmacia Statuto, Basso srl, Progetto edile srl , Erediriva, Multimmobiliare Ticino, Rosa Group, Bazzi, Guazzini, Crich, Confindustria Caserta, Istituto di Servizi per il Mercato Agricolo Alimentare (ISMEA), Comune di Villafranca.... chiudiamo qui la lista. Queste sono le vittime italiane (di cui si è avuto notizia) di LockBit 2.0 da Marzo alla data di oggi, 10 maggio 2022. E non sono neppure tutte: la rivendicazione pubblica dell'attacco da parte del gruppo Lockbit avviene, tramite il leak site del ransomware, solo nel caso in cui ci sia bisogno di "dare una spintarella" ad una vittima titubante a pagare. Gli attaccanti concedono solitamente tre giorni alle vittime: se queste non pagano inizia la pubblicazione dei dati rubati. Altrimenti le notizie degli attacchi neppure fuoriescono, quindi c'è da aspettarsi che il numero di vittime (in Italia e nel mondo) sia sottostimato rispetto alla realtà.

L'attacco più recente, stando alla fonte Red Hot Cyber, risale ai primi giorni di Maggio: la vittima è l'azienda italiana Eredi di Riva Natale srl. Il countdown di tre giorni è stato pubblicato il 6 Maggio

Il countdown per Eredi Di Riva sul leak site di Lockbit 2.0

Lockbit 2.0: diamo i numeri...

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 1° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 1° settimana di Maggio

La scorsa settimana il CERT AGID ha individuato e analizzato 31 campagne dannose. 30 sono state campagne mirate contro utenti italiani, una sola è una campagna generica ma veicolata anche nel cyber spazio italiano. 309 gli IOC individuati.

Le famiglie malware individuate sono state 8, diffuse con 11 diverse campagne: rispetto alla scorsa settimana, sottolinea il CERT, si registra una netta riduzione del numero di campagne. Il perchè potrebbe iumputarsi al fatto che la scorsa settimana non ci sono state campagne di diffusione di Emotet, che invece la scorsa settimana si piazzava al primo posto dei malware più diffusi con ben 7 campagne.

Per saperne di più > Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia

Ecco i malware più diffusi la scorsa settimana:

Hackerare gli hacker: un ricercatore individua e sfrutta bug che bloccano la criptazione dei ransomware Conti, REvil e Lockbit

 

Un ricercatore di sicurezza ha individuato alcune falle nel codice di ransomware di peso come Conti, REvil, LockBit, AvosLocker ecc... che possono essere sfruttate per bloccare il malware prima che avvii la criptazione. Come? Tramite un attacco di DLL Hijacking.

I ransomware vulnerabili al DLL hijacking

Siamo abituati a pensare ai cyber criminali che sfruttano le vulnerabilità delle reti aziendali per ottenervi l'accesso. Nella storia che stiamo per raccontare è invece successo l'opposto: un ricercatore di sicurezza ha analizzato il codice di operazioni ransomware famose come Conti, il redivivo REvil, l'ultimo arrivato (per fortuna non ancora in Italia) Black Basta, Lockbit e ha trovato delle falle sfruttabili tramite  exploit kit appositamente preparati. Insomma, gli hacker sono stati hackerati. 

Per saperne di più >

• Revil:  Il ritorno di REvil: individuata una nuova versione in diffusione. Il ransomware è tornato in attività;
• Conti: Cyber attacchi in Italia: anatomia del ransomware Conti;
• Lockbit: Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa

Il ricercatore, indipendente ed anonimo, si fa chiamare hyp3rlink e ha prodotto per ogni campione ransomware:

• la descrizione della vulnerabilità individuata;
• ha fornito l'hash del campione;
• un proof-of-concept (PoC) dell'exploit
• un video dimostrativo. 

In comune tutti i campioni ransomware violati hanno quello di essere vulnerabili ad attacchi di DLL hijacking. 

DLL hijacking in breve

Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia.

Neppure il tempo di parlarne e la nuova versione di Emotet è già al primo posto dei malware più diffusi in Italia la scorsa settimana. 

Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori downloader dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Emotet le ultime novità:
Le novità recenti sono pessime e non hanno fatto altro che anticipare quel che è la conferma della settimana, ovvero Emotet è tornato, è più forte di prima e non se ne andrà a breve. Le ultime novità riferiscono a due evidenze:

• il volume di email di spam per la diffusione di Emotet è passato da 3000 a 30000 email al giorno tra Febbraio e Marzo e il trend, anche per Aprile, è ancora in crescita;
• Epoch4, la parte dell'infrastruttura di Emotet usata a fini di test, sta diffondendo da un paio di settimane un nuovo payload del malware, che è passato da 32-bit a 64-bit. Il tasso di individuazione da parte delle più diffuse soluzioni di sicurezza è passato da 60% al 4%. 

Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

I malware della 4° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 36 campagne dannose. Tutte sono mirate contro utenti italiani eccetto una, che è stata generica ma veicolata anche nel cyber spazio italiano. Ben 1220 gli IOC messi a disposizione dal CERT. 

Le famiglie malware individuate in diffusione sono state 8, ecco la lista:

Il ritorno di REvil: individuata una nuova versione in diffusione. Il ransomware è tornato in attività

Brutta notizia: il ransomware REvil, che sembrava sconfitto dopo il down delle infrastrutture e l'arresto da parte della Russa dei suoi gestori, è tornato in attività.

REvil in breve

Il ransomware REvil è stato inizialmente conosciuto col nome di Sodinokibi. E' stato individuato in diffusione ad Aprile del 2019, poco dopo che il ransomware GandCrab aveva sospeso le operazioni: non a caso c'era chi vide subito in REvil / Sodinokibi il sostituto di GandCrab. In pochi anni  è diventato uno dei ransomware più attivi al mondo famoso soprattutto per le richieste di riscatto enormemente superiori alle richieste medie dei suoi "colleghi". Ha fatto storia l'attacco multiplo che il gruppo REvil lanciò nell'Agosto del 2019 contro diverse pubbliche amministrazioni texane: invece di chiedere più riscatti, il gruppo ne chiese uno solo della "modica" cifra di 2 milioni e mezzo di dollari da pagare in Bitcoin. 

L'attacco che però ha consacrato REvil tra i ransomware più pericolosi al mondo è stato l'attacco supply-chain lanciato contro Kaseya: il gruppo era riuscito a fare irruzione nei sistemi di Kaseya e a distribuire il ransomware come parte integrante degli aggiornamenti dell'applicativo. Con un solo attacco il gruppo infettò circa 1500 aziende nel mondo, richiedendo un riscatto collettivo complessivo di oltre 70 milioni di dollari. In conseguenza di questo attacco gli Stati Uniti dichiararono guerra al gruppo, che si prese una pausa di un paio di mesi durante i quali cercò di cancellare la propria presenza sui forum dell'undeground hacking, azzerando l'infrastruttura.  

Quel che gli attaccanti non sapevano è che una task force di forze dell'ordine internazionali aveva già fatto irruzione nei server del gruppo: così quando il gruppo eseguì il ripristino dell'infrastruttura usando i backup dei server che aveva avuto in uso,  ripristinò anche macchine controllate dalle forze dell'ordine. 

Uno dei primi, tardivi, post che denunciavano la violazione dell'infrastruttura di REvil.

Nel Novembre 2021 gli USA annunciarono l'arresto di un affiliato del ransomware di nazionalità ucraina ritenuto responsabile dell'attacco a Kaseya e il recupero di oltre 6 milioni di dollari da vari affiliati della rete di distribuzione del ransomware. Lo stesso mese la Romania arrestò altri due membri del gruppo, attualmente sotto processo con l'accusa di aver condotto 5.000 attacchi col ransomware REvil con un un guadagno di circa 500.000 euro. Nel Gennaio di quest'anno si parlava del colpo di grazia definitivo: le autorità della Federazione Russa hanno messo offline l'infrastruttura e arrestato circa 14 membri del gruppo sequestrando circa 426 milioni di rubli, 600 mila dollari statunitensi e 500.000 euro insieme ad una gran quantità di attrezzature informatiche per lanciare attacchi ransomware e minare criptovalute. 

REvil is back!