REvil ransomware: vad vet vi om det?

Ransomware-hackarna REvil har varit aktiva sedan 2019, och har varit inblandade i ett flertal högprofilerade attacker runt om i världen. Men vilka är REvil, och är de aktiva än idag?

Vilka är REvil?

REvil är en hackergrupp som har skapat och underhåller ransomware som de säljer till andra cyberkriminella som sedan implementerar utpressningstrojanen i praktiken. Vilka som ligger bakom gruppen är i skrivande stund oklart, men under 2022 har ett flertal personer arresterats. Hur viktiga de är för gruppen är oklart, men attackerna har saknat ner en aning, även om de inte har försvunnit helt och hållet.

Med tanke på att de säljer sina tjänster till andra cyberkriminella är det även svårt att få ett grepp om hur stort nätverket är. Vilka är en del av gruppen, och vilka har endast köpt deras tjänster? Det är svårt att säga.

Hur fungerar REvil ransomware?

Hur REvils ransomware fungerar kan skilja sig en aning beroende på olika situationer. Ett vanligt tillvägagångssätt är att de använder sig av nätfiske för att få tillgång till inloggningsuppgifter till ett system. När de väl är inne sprider de sin programvara i systemet. Resultatet blir att information, filer och data krypteras.

De kan även använda stulna användaruppgifter för att få fjärråtkomst till ett system på en annan plats. Med tanke på att hackergruppen även säljer lösningar till andra hackare, skiljer sig tillvägagångssätten rejält mellan olika attacker.

När programvaran sedan är spridd i systemet får de riktiga ägarna ett lösenkrav för att låsa upp systemet. Hur stort lösenkravet är varierar, men 2021 krävde de exempelvis 70 miljoner dollar av Kaseya.

De har även attackerat följande:

• Donald Trump
• Apple
• Lady Gaga
• Acer

Ovanstående är endast några av de mest kända attackerna. REvil har genomfört betydligt fler attacker än så, varav vissa har lyckats extrahera en lösensumma, andra inte.

Är REvil ransomware tillbaka?

Hur och när REvil skapades är svårt att säga, men gruppen går att spåra tillbaka till 2019/2020. Sedan dess har det utförts massvis med attacker i deras namn, samt att de har sålt sina tjänster till andra cyberkriminella runt om på internet.

Lyckligtvis är REvils kraftfulla malware inte lika frekvent just nu som för några år sedan. Anledningen till detta är att ett flertal personer i gruppen har arresterats. Dessa individer kan nu förvänta sig riktigt långa fängelsestraff, samt att de får en stor del av sina tillgångar beslagtagna. Detta har förmodligen avskräckt andra medlemmar från att fortsätta med attackerna.

Många av medlemmarna har även kommit över större summor pengar, vilket gör att incitamenten inte är lika stora som för några år sedan. Huruvida REvils ransomware kommer att komma tillbaka i framtiden lämnar vi osagt, men sannolikheten är tyvärr ganska hög för att så blir fallet.

Vi kan även förvänta oss andra typer av ransomware-attacker, även om REvil inte längre är aktiva.

Hur upptäcker och förhindrar man REvil ransomware?

Det bästa sättet att upptäcka och förhindra REvil är att känna till att gruppen och dess skadliga programvara existerar. Utöver detta bör du ta de vanliga säkerhetsåtgärderna för att vara säker online, exempelvis att skapa säkra lösenord, inte klicka på okända länkar, med mera. Du bör även alltid använda flerfaktorsautentisering, samt backa upp dina filer och information på regelbunden basis. På så sätt blir du inte lika exponerad för ransomware-attacker.

Men det kan även vara en bra idé att använda en VPN. På så sätt gör du det betydligt svårare för cyberkriminella att sno åt sig de datapaket som skickas mellan dig och omvärlden, samt att du i princip blir privat när du är på internet.

En VPN-tjänst som NordVPN bidrar även med ytterligare funktionalitet, exempelvis den inbyggda funktionen Threat Protection. Funktionen skyddar mot malware, samt blockerar skadliga annonser och spårare.

Sanningen är att ju fler skydd och försiktighetsåtgärder du implementerar, desto bättre skydd har du på internet.