Η ομάδα ransomware που καταστράφηκε τον Ιανουάριο από τις ρωσικές αρχές, ενεργώντας μετά από πληροφορία των ΗΠΑ, ενδέχεται να επανεμφανίστηκε, ως αποτέλεσμα των αυξημένων εντάσεων μεταξύ Μόσχας και Ουάσιγκτον στον απόηχο της εισβολής στην Ουκρανία.
Το REvil καταργήθηκε σε μια επιχείρηση υψηλού προφίλ που διεξήγαγε η ρωσική υπηρεσία ασφαλείας FSB, μια κίνηση που εξέπληξε πολλούς εκείνη την εποχή, δεδομένης της προηγούμενης ανοχής της Μόσχας στις συμμορίες κυβερνοεγκληματιών που δρούσαν στο έδαφός της. Υπό το φως της ρωσικής επίθεσης στην Ουκρανία εβδομάδες αργότερα, η καταστολή φάνηκε ακόμη πιο ανεξήγητη.
Τώρα φαίνεται ότι η Ρωσία έχει αντιστρέψει τη σκληρότερη στάση της έναντι των παραγόντων απειλών, αν και πολλοί παρατηρητές έχουν προειδοποιήσει ότι η ομάδα που αυτή τη στιγμή ισχυρίζεται ότι είναι REvil θα μπορούσε απλώς να είναι απατεώνες που προσπαθούν να επωφεληθούν από τη φήμη της ή ακόμα και μια άλλη κίνηση από το Κρεμλίνο για να παγιδεύσει περαιτέρω κυβερνοεγκληματίες.
«Δεν είναι επί του παρόντος ασαφές εάν η επανεκκίνηση της υποδομής που σχετίζεται με το REvil αντιπροσωπεύει μια πραγματική επιστροφή στη δραστηριότητα της ομάδας, μια απάτη ή μια πιθανή επιχείρηση honeypot από τις αρχές επιβολής του νόμου», δήλωσε ο Chris Morgan, ανώτερος αναλυτής στην εταιρεία κυβερνοασφάλειας Digital Shadows.
Όπως πάντα, το Twitter ήταν γεμάτο εικασίες και αποκλίνουσες απόψεις, με κάποιους να υποδηλώνουν ότι η ομάδα που ισχυριζόταν ότι είναι ο REvil βρισκόταν πίσω από την κυβερνοεπίθεση αυτού του μήνα στην Oil India, η οποία αντιμετώπισε αίτημα λύτρων 7,5 εκατομμυρίων δολαρίων μετά την παραβίαση των αμυντικών της μέτρων. Όμως, καθώς η εταιρεία πετρελαιοειδών ισχυρίζεται ότι η ταυτότητα του δράστη είναι απροσδιόριστηκαι άλλες πηγές λένε ότι η επίθεση χρησιμοποίησε ρωσικό κακόβουλο λογισμικό, αλλά ξεκίνησε από τη Νιγηρία, τέτοιοι ισχυρισμοί είναι στην καλύτερη περίπτωση εικαστικοί.
«Είναι ρεαλιστικά πιθανό οι ρωσικές αρχές να έχουν σταματήσει την έρευνά τους για την ομάδα ή να έχουν υποδείξει με άλλο τρόπο ότι η REvil θα μπορούσε να ξαναρχίσει τις δραστηριότητές της», είπε ο Morgan.
Αλλά πρόσθεσε: «Από την άλλη πλευρά, είναι επίσης πιθανό η επιστροφή του REvil να έχει επηρεαστεί από πρώην μέλη του γκρουπ, με στόχο να εκμεταλλευτούν την πρώην φήμη της μάρκας και να προσπαθούν να εκτελέσουν τη λειτουργία μόνοι τους. Μερικοί έχουν επίσης προτείνει ότι η επιστροφή μπορεί να διευκολύνθηκε από τις ρωσικές αρχές επιβολής του νόμου για να παγιδεύσουν άλλα μέλη της πρώην επιχείρησης του REvil».
Η τελευταία θεωρία φαίνεται η λιγότερο πιθανή, δεδομένου ότι τα φερόμενα θύματα, συμπεριλαμβανομένης της Oil India και της Visotec Group, έχουν αναρτηθεί στον ιστότοπο blog του REvil, μια σκοτεινή ιστοσελίδα που επαναδραστηριοποιήθηκε πρόσφατα.
Υποδεικνύοντας την έλλειψη επαρκών αποδεικτικών στοιχείων, ο Morgan είπε ότι παραμένει ασαφές για το άμεσο μέλλον εάν πρόκειται στην πραγματικότητα για το αρχικό REvil ή απλώς μια άλλη ομάδα που λειτουργεί με το όνομά τους.
«Εάν η επιστροφή είναι νόμιμη, είναι ρεαλιστικά πιθανό ότι αυτή η διευκρίνιση θα δοθεί από την ομάδα τις επόμενες εβδομάδες», είπε.