De FBI heeft zo'n 2 miljoen euro aan bitcoins in beslag genomen van een Russische man die verdacht wordt van het uitvoeren van aanvallen met de REvil-ransomware. Dat blijkt uit een openbaar geworden document van een Texaanse rechtbank (pdf). Het gaat om bijna veertig bitcoins die zich in een Exodus-wallet bevinden. Via deze walletsoftware kunnen gebruikers hun cryptovaluta opslaan en beheren. Hoe de FBI de wallet in handen heeft gekregen staat niet in het document.

Volgens de Amerikaanse autoriteiten speelde de Russische verdachte tussen april 2019 en juli 2021 een rol bij aanvallen die met de REvil-ransomware wereldwijd werden uitgevoerd. Hij zou daarbij organisaties met de ransomware hebben aangevallen en geld hebben witgewassen dat van REvil-slachtoffers afkomstig was. In 2019 publiceerde antivirusbedrijf McAfee al een analyse van de activiteiten van de verdachte met het alias Lalartu. "Twee jaar geleden ontmaskerde McAfee Lalartu en traceerde een deel van zijn illegale inkomsten. Het is fantastisch dat de FBI nu bijna 2,2 miljoen dollar van Lalartu in beslag heeft genomen", zegt John Fokker van McAfee. Ook onderzoeker Alon Gal maakte een analyse van de verdachte.

REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid.

Het is niet de eerste keer dat de FBI geld van vermeende ransomwarecriminelen in beslag neemt. In juni lukte het de opsporingsdienst om het grootste deel van de 4,4 miljoen dollar die de Amerikaanse Colonial Pipeline Company aan de DarkSide-groep betaalde in beslag te nemen. Daarnaast kwam losgeld dat slachtoffers van de NetWalker-ransomware betaalden in handen van de opsporingsdienst.