REvil, milzīga Ransomware-as-a-Service (RaaS) operācija, kas pirmo reizi tika atklāta 2019. gada aprīļa beigās, ir atgriezusies. Šķiet, ka pēc sešu mēnešu neaktivitātes — pēc Krievijas varas iestāžu veiktā reida — izspiedējvīrusu grupa ir atsākusi savu darbību.
Jaunu izspiedējvīrusu paraugu analīze atklāj, ka izstrādātājam ir piekļuve REvil pirmkodam, kas nozīmē, ka draudu grupa ir atkārtoti parādījusies. Šīs aizdomas vēl vairāk pastiprinājās, kad ransomware komandas vietne tika atkārtoti atvērta tumšajā tīmeklī.
Iepriekš esam redzējuši daudzas izspiedējvīrusu grupas, taču ar ko REvil ir īpašs? Ko grupas atgriešanās nozīmē kiberpasaulei? Noskaidrosim!
Kas padara REvil Ransomware unikālu?
REvil izveidoja reputāciju, tiecoties pēc augsta līmeņa un ļoti ienesīgiem mērķiem un pieprasot no upuriem pārmērīgus maksājumus. Tā ir arī viena no pirmajām grupām, kas pieņēma dubultās izspiešanas taktiku, kurā viņi izfiltrēja upura datus un šifrēja tos.
The dubultās izspiešanas izpirkuma programmatūra shēma ļauj REvil pieprasīt divus izpirkuma maksu par lielu finansiālu ieguvumu. Intervijā ar
Krievu OSINT, grupas izstrādātāji apgalvoja, ka viena gada laikā nopelnījuši vairāk nekā 100 miljonus ASV dolāru, mērķējot uz lieliem uzņēmumiem. Tomēr tikai daļa no tā nonāca izstrādātājiem, savukārt filiāles ieguva lauvas tiesu.Lielākie REvil Ransomware uzbrukumi
REvil izspiedējvīrusu grupa ir bijusi aiz dažiem lielākie izspiedējvīrusu uzbrukumi 2020.–2021. gadā. Grupa pirmo reizi nonāca uzmanības centrā 2020. gadā, kad tā uzbruka Travelex, galu galā novedot pie uzņēmuma bojāejas. Nākamajā gadā REvil sāka publicēt virsrakstus, organizējot ļoti ienesīgus kiberuzbrukumus, kas izjauca publisko infrastruktūru un piegādes ķēdes.
Grupa uzbruka tādiem uzņēmumiem kā Acer, Quanta Computer, JBS Foods un IT pārvaldības un programmatūras nodrošinātājam Kaseya. Grupai, iespējams, bija dažas saites uz bēdīgi slavenais koloniālā cauruļvada uzbrukums, kas pārtrauca degvielas piegādes ķēdi ASV.
Pēc Kaseya REvil izpirkuma programmatūras uzbrukuma grupa kādu laiku klusēja, lai mazinātu nevēlamo uzmanību, ko tā bija pievērsusi sev. Bija daudz spekulāciju, ka grupējums 2021. gada vasarā plānoja jaunu uzbrukumu sēriju, taču likumsargiem bija citi plāni REvil operatoriem.
Atrēķināšanas diena REvil kiberbandai
Kad bēdīgi slavenā ransomware banda parādījās jauniem uzbrukumiem, viņi konstatēja, ka viņu infrastruktūra ir apdraudēta, un vērsās pret viņiem. 2022. gada janvārī Krievijas valsts drošības dienests FSB paziņoja, ka pēc ASV lūguma ir izjaukusi grupējuma darbību.
Vairāki bandas dalībnieki tika arestēti, un viņu īpašumi, tostarp miljoniem ASV dolāru, eiro un rubļu, kā arī 20 luksusa automašīnas un kriptovalūtu maki. REvil izpirkuma programmatūras aresti tika veikti arī Austrumeiropā, tostarp Polijā, kur varas iestādes turēja aizdomās turamo Kasejas uzbrukumā.
REvil sabrukums pēc galveno grupas dalībnieku arestiem, protams, tika atzinīgi novērtēts drošības aprindās, un daudzi uzskatīja, ka draudi ir pilnībā pārgājuši. Tomēr atvieglojuma sajūta bija īslaicīga, jo banda tagad ir atsākusi savu darbību.
REvil Ransomware atdzimšana
Pētnieki no Secureworks martā analizēja ļaunprātīgas programmatūras paraugu un deva mājienu, ka banda varētu atkal darboties. Pētnieki atklāja, ka izstrādātājam, iespējams, ir piekļuve sākotnējam avota kodam, ko izmanto REvil.
Arī domēns, ko izmantoja REvil noplūdes vietne, atkal sāka darboties, taču tagad tas novirza apmeklētājus uz jaunu URL, kurā ir uzskaitītas vairāk nekā 250 REvil upuru organizācijas. Sarakstā ir iekļauti REvil vecie upuri un daži jauni mērķi.
Oil India — Indijas naftas biznesa uzņēmums — bija visievērojamākais no jaunajiem upuriem. Uzņēmums apstiprināja datu pārkāpumu un saņēma 7,5 miljonu ASV dolāru izpirkuma maksu. Lai gan uzbrukums izraisīja spekulācijas, ka REvil atsāk darbību, joprojām pastāvēja jautājumi par to, vai šī ir kopēšanas operācija.
Vienīgais veids, kā apstiprināt REvil atgriešanos, bija atrast izspiedējvīrusa operācijas šifrētāja paraugu un pārbaudīt, vai tas ir apkopots no sākotnējā pirmkoda.
Aprīļa beigās Avast pētnieks Jakubs Kroustek atklāja izpirkuma programmatūras šifrētāju un apstiprināja, ka tas patiešām ir REvil variants. Paraugā faili netika šifrēti, bet failiem tika pievienots nejaušs paplašinājums. Drošības analītiķi teica, ka tā ir kļūda, ko ieviesuši izspiedējvīrusa izstrādātāji.
Vairāki drošības analītiķi ir paziņojuši, ka jaunais izspiedējvīrusa paraugs ir saistīts ar sākotnējo pirmkodu, kas nozīmē, ka ir jābūt iesaistītam kādam no grupas, piemēram, galvenajam izstrādātājam.
Grupas REvil sastāvs
Grupas REvil parādīšanās pēc iespējamiem arestiem šā gada sākumā ir radījusi jautājumus par grupas sastāvu un tās saistību ar Krievijas valdību. Banda aptumšojās veiksmīgās ASV diplomātijas dēļ pirms Krievijas un Ukrainas konflikta sākuma.
Daudziem grupējuma pēkšņā atdzimšana liek domāt, ka Krievija varētu vēlēties to izmantot kā spēka pavairotāju notiekošajā ģeopolitiskajā spriedzē.
Tā kā neviena persona vēl nav identificēta, nav skaidrs, kas ir aiz operācijas. Vai tās ir tās pašas personas, kas vadīja iepriekšējās operācijas, vai arī to ir pārņēmusi jauna grupa?
Kontrolējošās grupas sastāvs joprojām ir noslēpums. Taču, ņemot vērā arestus šā gada sākumā, iespējams, ka grupai varētu būt daži operatori, kas iepriekš nebija REvil daļa.
Dažiem analītiķiem nav nekas neparasts, ka izspiedējvīrusu grupas izzūd un atkal parādās citos veidos. Tomēr nevar pilnībā izslēgt iespēju, ka kāds izmantos zīmola reputāciju, lai nostiprinātos.
Aizsardzība pret REvil Ransomware uzbrukumiem
REvil valdnieka arests bija liela diena kiberdrošībai, it īpaši, ja izspiedējvīrusu grupas bija vērstas uz visu, sākot no valsts iestādēm līdz slimnīcām un skolām. Taču, kā redzams ar jebkādiem traucējumiem tiešsaistes noziedzīgās darbībās, tas nenozīmēja izspiedējvīrusa pandēmijas beigas.
Bīstamība REvil gadījumā ir dubultā izspiešanas shēma, kurā grupa mēģinātu pārdot jūsu datus un sabojāt zīmola tēlu un attiecības ar klientiem.
Kopumā laba stratēģija, lai cīnītos pret šādiem uzbrukumiem, ir nodrošināt tīkla drošību un veikt simulācijas testus. Izspiedējprogrammatūras uzbrukums bieži notiek neaizlabotu ievainojamību dēļ, un simulācijas uzbrukumi var palīdzēt tās identificēt.
Vēl viena svarīga riska mazināšanas stratēģija ir pārbaudīt visus, pirms viņi var piekļūt jūsu tīklam. Nulles uzticamības stratēģija var būt izdevīga, jo tā darbojas pēc pamatprincipa – nekad nevienam neuzticēties un pārbaudīt katru lietotāju un ierīci, pirms tiek piešķirta piekļuve tīkla resursiem.
