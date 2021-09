Verschillende websites van de REvil-ransomwaregroep, onder andere verantwoordelijk voor de wereldwijde ransomware-aanval via de software van Kaseya, zijn weer online verschenen. Het gaat zowel om het "Happy Blog", waarop de groep de namen van slachtoffers noemt, als de website waar slachtoffers met de criminelen kunnen onderhandelen. Dat laat beveiligingsonderzoeker Brett Callow van antimalwarebedrijf Emsisoft op Twitter weten.

REvil werd begin juli wereldnieuws nadat het via kwetsbaarheden in de software van Kaseya de klanten van managed serviceproviders met ransomware infecteerde. De groep eiste 70 miljoen dollar voor een generieke decryptiesleutel waarmee slachtoffers hun bestanden konden ontsleutelen. Uiteindelijk meldde Kaseya dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen en dat het hier niet voor had betaald.

Net als veel andere ransomwaregroepen beschikt ook REvil over een eigen website. Deze website ging echter op 13 juli offline en sindsdien werd er niets van de REvil-groep vernomen. De nu verschenen website toont geen nieuwe slachtoffers, waarbij het laatste slachtoffer van 8 juli dateert. Het is dan ook onduidelijk of de groep echt terug is.

Begin juli werd bekend dat de Nederlandse politie servers van de ransomwaregroep DarkSide in beslag had genomen. Deze groep zat onder andere achter de aanval op de Colonial Pipeline Company, de grootste brandstofpijplijn van de Verenigde Staten.