Note di tracciamento gruppo REvil

Come si apprende dalla stampa e da analisi degli esperti, membri del gruppo di ransomware REvil sono stati ieri arrestati dai servizi speciali russi FSB. Se hai letto la newsletter di questa mattina, anche li ne abbiamo parlato. L’intento di questo post invece è di tracciare alcuni dettagli su questa operazione e che emergono analizzando i dettagli diffusi dai servizi russi.

Basando il materiale disponibile, da ciò che viene offerto dal video che i servizi, hanno ufficialmente pubblicato, se ne ricavano delle immagini che sono state dettagliatamente analizzate dal gruppo informatico ArvinClub e dall’esperto di cyber intelligence @SttyK.

Il video ufficiale delle operazioni d’arresto.

Cosa hanno fatto gli esperti d’intelligence? Hanno pubblicamente analizzato importanti dettagli che emergono da questo video, al fine di localizzare importanti tracciamenti riconducibili alla gang REvil (a quello che era o a quello che ne è rimasto), ammesso che ora ne sia ancora rimasto qualcosa in piedi.

Da questa immagine, che può sembrare ironica in quanto riferita alla presenza di coupon regalo per un noto sito russo di estetica/cosmesi, è stato in realtà estrapolato un numero di telefono identificato come +79313631534 (+7 è il prefisso internazionale russo). Tale numero, da una ricerca parrebbe appartenere a una società di gestione immobiliare o dell’edilizia denominata Capitan Nemo (presente infatti nella propria pagina social VK), questo il loro sito ufficiale: https://www.lpmc.ru/.

Analizzando tutti i contatti presenti, quel numero sembra possa essere proprio il contatto per il servizio spedizione di questo grande gruppo aziendale, come evidenziato here.

Fonte: twitter SttyK

Individuando le coordinate su Google Maps, ci si interroga se, in questa struttura ci possano essere collegamenti con il gruppo REvil: 59.9360285, 30.2046293.

Altro dettaglio rilevato è una conversazione rilasciata da un portavoce di Lockbit, diffusa come screenshot sul forum XSS, tra il gruppo Lockbit appunto e un membro di REvil, in cui un moderatore del forum (tale Kajit) viene accusato di aver rubato dati del dominio REvil e di aver collaborato con i servizi federali russi.

I nomi noti di REvil

Nella giornata del 15 gennaio sono emersi i nomi relativi all’arresto di tutti gli otto sospetti membri del gruppo di hacker REvil da un tribunale di Mosca. Gli uomini – Andrei Bessonov, Roman Muromsky, Mikhail Golovochuk, Ruslan Khansvyarov, Dmitry Korotayev, Alexei Malozyomov, Artyom Zayets e Alexei Puzyrevsky – dovrebbero rimanere in custodia di polizia fino al 13-14 marzo. Come si può notare non si legge il nome di Evgeny Polyanin, considerato il leader del gruppo REvil, non è stato dichiarato se il suo nome fosse tra gli arrestati, o se ancora vive agiato e protetto senza che nessuno lo cerchi a Barnaul. Seguirò aggiornamenti per sviluppare questo articolo con i fatti futuri.

Nonostante l’esultanza della Casa Bianca, per questa operazione, giudicata fondamentale per i prossimi rapporti USA-Russia, come riportato dagli esperti di Arvin, l’arresto dei membri di REvil non aiuta molto. Questa gang è stata sciolta già da molto tempo, ed era fuori dai giochi ormai da un po’. Il governo russo ha solo allentato la pressione con questo arresto, ma aspetta che compaia il prossimo grande ransomware su cui fare affidamento.