De Roemeense autoriteiten hebben twee personen aangehouden die worden verdacht van het verspreiden van de beruchte REvil-ransomware en het infecteren van duizenden computers. Daarmee komt het aantal partners van de REvil-groep die de afgelopen maanden zijn aangehouden op vijf.

REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid.

De in Roemenië opgepakte mannen zouden voor vijfduizend infecties verantwoordelijk zijn en 500.000 euro losgeld hebben ontvangen. Eerder wisten autoriteiten in Europa een vermeende partner van de REvil-groep aan te houden. In Zuid-Korea werden twee "affiliates" opgepakt die bij de REvil-ransomware betrokken zouden zijn geweest, alsmede iemand die van betrokkenheid bij de Gandcrab-ransomware wordt verdacht. Vorige week werd een andere vermeende GandCrab-partner in Koeweit aangehouden.

GandCrab wordt gezien als de voorganger van de REvil-ransomware en zou verantwoordelijk zijn voor honderdduizenden infecties wereldwijd. Net als REvil werd ook GandCrab als RaaS aangeboden. In 2019 kondigden de GandCrab-ontwikkelaars hun afscheid aan. Sommige van de GandCrab-partners zouden vervolgens naar REvil zijn overgestapt. Bij de operatie naar REvil en GandCrab zijn ook de Nederlandse autoriteiten betrokken geweest, zo meldt Europol.