REvil, мощная операция Ransomware-as-a-Service (RaaS), впервые обнаруженная в конце апреля 2019 года, вернулась. После шести месяцев бездействия — после рейда российских властей — группа вымогателей, похоже, возобновила свою работу.
Анализ новых образцов программ-вымогателей показывает, что разработчик имеет доступ к исходному коду REvil, а это означает, что группа угроз вновь появилась. Эти подозрения еще больше усилились, когда сайт группы вымогателей перезапустился в даркнете.
Мы уже видели множество групп вымогателей, но что делает REvil особенным? Что означает возвращение группы для кибермира? Давай выясним!
Что делает программу-вымогатель REvil уникальной?
REvil заработал репутацию компании, преследующей высокопоставленных и высокодоходных целей и требующей непомерных платежей от своих жертв. Это также одна из первых группировок, принявших тактику двойного вымогательства, когда они извлекали данные жертвы и шифровали их.
программа-вымогатель с двойным вымогательством Схема позволяет REvil требовать два выкупа за высокую финансовую выгоду. В интервью с
Российский OSINT, разработчики группы заявили, что они заработали более 100 миллионов долларов за один год, ориентируясь на крупные предприятия. Однако разработчикам досталась лишь небольшая часть, а львиная доля досталась аффилиатам.Крупные атаки программ-вымогателей REvil
Группа вымогателей REvil стоит за некоторыми из крупнейшие атаки программ-вымогателей 2020-21 гг.. Группа впервые привлекла к себе внимание в 2020 году, когда атаковала Travelex, что в конечном итоге привело к краху компании. В следующем году REvil попала в заголовки газет, организовав высокодоходные кибератаки, которые нарушили общественную инфраструктуру и цепочки поставок.
Группа атаковала такие компании, как Acer, Quanta Computer, JBS Foods, а также поставщика программного обеспечения и управления ИТ Kaseya. Группа, вероятно, имела какие-то ссылки на печально известная атака на колониальный трубопровод, что нарушило цепочку поставок топлива в США.
После атаки программы-вымогателя Kaseya REvil группа на некоторое время замолчала, чтобы смягчить нежелательное внимание, которое она привлекла к себе. Было много предположений, что группировка планировала новую серию атак летом 2021 года, но у правоохранительных органов были другие планы на операторов REvil.
День расплаты для кибер-банды REvil
Когда пресловутая банда вымогателей всплыла на поверхность для новых атак, они обнаружили, что их инфраструктура скомпрометирована, и повернулись против них. В январе 2022 года ФСБ России заявила о пресечении деятельности группы по запросу США.
Несколько членов банды были арестованы, а их имущество конфисковано, в том числе миллионы долларов США, евро и рублей, а также 20 роскошных автомобилей и криптовалютные кошельки. Аресты программы-вымогателя REvil также были произведены в Восточной Европе, в том числе в Польше, где власти удерживали подозреваемого в атаке Kaseya.
Падение REvil после арестов ключевых членов группы, естественно, приветствовалось в сообществе безопасности, и многие полагали, что угроза полностью миновала. Однако чувство облегчения было недолгим, поскольку теперь банда возобновила свою деятельность.
Возрождение программы-вымогателя REvil
Исследователи из Безопасные работы проанализировал образец вредоносного ПО за март и намекнул, что банда может вернуться в строй. Исследователи обнаружили, что разработчик, вероятно, имеет доступ к исходному коду, используемому REvil.
Домен, используемый веб-сайтом утечки REvil, также снова начал работать, но теперь он перенаправляет посетителей на новый URL-адрес, где перечислены более 250 организаций-жертв REvil. Список содержит смесь старых жертв REvil и несколько новых целей.
Oil India — индийская нефтяная компания — стала самой заметной из новых жертв. Компания подтвердила утечку данных и получила требование о выкупе в размере 7,5 миллионов долларов. Хотя атака вызвала предположения, что REvil возобновляет работу, все еще оставались вопросы о том, была ли это операция подражания.
Единственный способ подтвердить возвращение REvil — найти образец шифровальщика программы-вымогателя и посмотреть, был ли он скомпилирован из оригинального исходного кода.
В конце апреля исследователь Avast Якуб Кроустек обнаружил шифровальщик программы-вымогателя и подтвердил, что это действительно вариант REvil. Образец не шифровал файлы, но добавлял к файлам случайное расширение. Аналитики безопасности заявили, что это ошибка разработчиков программы-вымогателя.
Несколько аналитиков безопасности заявили, что новый образец программы-вымогателя связан с исходным кодом, а это означает, что кто-то из банды, например, основной разработчик, должен был быть замешан.
Состав группы REvil
Повторное появление REvil после предполагаемых арестов в начале этого года подняло вопросы о составе группы и ее связях с российским правительством. Банда потемнела благодаря успешной дипломатии США перед началом российско-украинского конфликта.
Для многих внезапное возрождение группы предполагает, что Россия может захотеть использовать ее в качестве средства увеличения силы в продолжающейся геополитической напряженности.
Поскольку личность пока не установлена, неясно, кто стоит за операцией. Это те же люди, которые руководили предыдущими операциями, или их сменила новая группа?
Состав контрольной группы до сих пор остается загадкой. Но, учитывая аресты в начале этого года, вполне вероятно, что в группе может быть несколько операторов, которые ранее не были частью REvil.
По мнению некоторых аналитиков, группы программ-вымогателей нередко исчезают и вновь появляются в других формах. Тем не менее, нельзя полностью исключить возможность того, что кто-то использует репутацию бренда, чтобы закрепиться.
Защита от атак программ-вымогателей REvil
Арест вора в законе REvil стал важным событием для кибербезопасности, особенно когда группы вымогателей атаковали все, от государственных учреждений до больниц и школ. Но, как видно из любого нарушения преступной деятельности в Интернете, это не означало конец пандемии программ-вымогателей.
Опасность в случае REvil заключается в схеме двойного вымогательства, в которой группа попытается продать ваши данные и запятнать имидж бренда и отношения с клиентами.
В общем, хорошей стратегией противодействия таким атакам является обеспечение безопасности вашей сети и проведение имитационных тестов. Атаки программ-вымогателей часто происходят из-за незакрытых уязвимостей, и симуляционные атаки могут помочь вам идентифицировать их.
Еще одна ключевая стратегия смягчения последствий — проверить всех, прежде чем они смогут получить доступ к вашей сети. Таким образом, стратегия нулевого доверия может быть выгодна, поскольку она работает по основному принципу: никогда никому не доверять и проверять каждого пользователя и устройство, прежде чем предоставить им доступ к сетевым ресурсам.
