REvil, o operațiune formidabilă Ransomware-as-a-Service (RaaS) care a apărut pentru prima dată la sfârșitul lunii aprilie 2019, a revenit. După șase luni de inactivitate — în urma raidului autorităților ruse — grupul de ransomware pare să fi reluat activitatea.
Analiza noilor mostre de ransomware dezvăluie că dezvoltatorul are acces la codul sursă al REvil, ceea ce înseamnă că grupul de amenințări a reapărut. Aceste suspiciuni au fost întărite și mai mult atunci când site-ul echipajului ransomware a fost relansat pe dark web.
Am mai văzut o mulțime de grupuri de ransomware, dar ce face REvil special? Ce înseamnă revenirea grupului pentru lumea cibernetică? Să aflăm!
Ce face REvil Ransomware unic?
REvil și-a construit o reputație pentru a urmări ținte de mare profil și foarte profitabile și a cerut plăți exorbitante de la victime. Este, de asemenea, unul dintre primele grupuri care a adoptat tactica dublei de extorcare în care au exfiltrat datele victimei și le-au criptat.
The ransomware cu dublă extorcare
schema permite REvil să ceară două răscumpărări pentru câștiguri financiare mari. Într-un interviu cu rusă OSINT, dezvoltatorii grupului au susținut că au câștigat peste 100 de milioane de dolari într-un an prin țintirea întreprinderilor mari. Cu toate acestea, doar o fracțiune a mers către dezvoltatori, în timp ce afiliații au primit partea leului.Atacuri majore REvil Ransomware
Grupul de ransomware REvil a fost în spatele unora dintre cele mai mari atacuri ransomware din 2020-21. Grupul a intrat pentru prima dată în lumina reflectoarelor în 2020, când a atacat Travelex, ducând în cele din urmă la dispariția companiei. În anul următor, REvil a început să facă titluri de atenție prin organizarea de atacuri cibernetice extrem de profitabile care au perturbat infrastructura publică și lanțurile de aprovizionare.
Grupul a atacat companii precum Acer, Quanta Computer, JBS Foods și furnizorul de software și management IT Kaseya. Grupul avea probabil câteva legături către notoriu atac al conductei coloniale, care a perturbat lanțul de aprovizionare cu combustibil din SUA.
În urma atacului ransomware Kaseya REvil, grupul a rămas tăcut pentru o vreme pentru a atenua atenția nedorită pe care și-a adus-o. Au existat multe speculații că grupul plănuia o nouă serie de atacuri în vara anului 2021, dar oamenii legii aveau alte planuri pentru operatorii REvil.
Ziua judiciului pentru banda cibernetică REvil
Pe măsură ce renumita bandă de ransomware a reapărut pentru noi atacuri, ei au constatat că infrastructura lor era compromisă și s-au întors împotriva lor. În ianuarie 2022, serviciul rus de securitate de stat FSB a anunțat că a întrerupt activitățile grupului la cererea Statelor Unite.
Mai mulți membri ai bandei au fost arestați, iar bunurile lor au fost confiscate, inclusiv milioane de dolari SUA, euro și ruble, precum și 20 de mașini de lux și portofele cu criptomonede. Arestările de ransomware REvil au fost făcute și în estul Europei, inclusiv în Polonia, unde autoritățile au reținut un suspect în atacul Kaseya.
Căderea REvil după arestarea membrilor cheie ai grupului a fost binevenită în mod natural în comunitatea de securitate și mulți au presupus că amenințarea a dispărut complet. Cu toate acestea, sentimentul de ușurare a fost de scurtă durată, deoarece banda și-a reluat operațiunile.
Resurgerea lui REvil Ransomware
Cercetători din Lucrări securizate a analizat un eșantion de malware din martie și a sugerat că gașca ar putea fi din nou în acțiune. Cercetătorii au descoperit că dezvoltatorul are probabil acces la codul sursă original folosit de REvil.
Domeniul folosit de site-ul REvil leak a început să funcționeze din nou, dar acum redirecționează vizitatorii către o nouă adresă URL unde sunt listate peste 250 de organizații ale victimelor REvil. Lista conține un amestec de vechile victime ale lui REvil și câteva ținte noi.
Oil India – o companie indiană de afaceri petroliere – a fost cea mai proeminentă dintre noile victime. Compania a confirmat încălcarea datelor și a primit o cerere de răscumpărare de 7,5 milioane de dolari. În timp ce atacul a provocat speculații că REvil își reia operațiunile, au existat încă întrebări despre dacă aceasta a fost o operațiune imitatoare.
Singura modalitate de a confirma revenirea lui REvil a fost să găsești un eșantion al criptatorului operațiunii de ransomware și să vezi dacă a fost compilat din codul sursă original.
La sfârșitul lunii aprilie, cercetătorul Avast Jakub Kroustek a descoperit criptatorul ransomware și a confirmat că este într-adevăr o variantă REvil. Eșantionul nu a criptat fișierele, dar a adăugat o extensie aleatorie fișierelor. Analiștii de securitate au spus că a fost o eroare introdusă de dezvoltatorii de ransomware.
Mai mulți analiști de securitate au declarat că noul eșantion de ransomware se leagă de codul sursă original, ceea ce înseamnă că cineva din bandă – de exemplu, un dezvoltator de bază – trebuie să fi fost implicat.
Compoziția Grupului REvil
Reapariția lui REvil după presupusele arestări de la începutul acestui an a ridicat semne de întrebare cu privire la componența grupului și legăturile sale cu guvernul rus. Banda s-a întunecat din cauza diplomației de succes a SUA înainte de începerea conflictului Rusia-Ucraina.
Pentru mulți, renașterea bruscă a grupului sugerează că Rusia ar putea dori să-l folosească ca multiplicator de forță în tensiunile geopolitice în curs.
Deoarece nicio persoană nu a fost încă identificată, nu este clar cine se află în spatele operațiunii. Sunt aceleași persoane care au condus operațiunile anterioare sau a preluat un nou grup?
Compoziția grupului de control este încă un mister. Dar, având în vedere arestările de la începutul acestui an, este probabil ca grupul să aibă câțiva operatori care nu făceau anterior parte din REvil.
Pentru unii analiști, nu este neobișnuit ca grupurile de ransomware să dispară și să reapară sub alte forme. Cu toate acestea, nu se poate elimina în totalitate posibilitatea ca cineva să profite de reputația mărcii pentru a face un punct de sprijin.
Protecție împotriva atacurilor REvil Ransomware
Arestarea capului lui REvil a fost o zi mare pentru securitatea cibernetică, mai ales când grupurile de ransomware vizau orice, de la instituții publice la spitale și școli. Dar, așa cum sa văzut cu orice întrerupere a activității criminale online, aceasta nu a însemnat sfârșitul pandemiei de ransomware.
Pericolul în cazul REvil este schema dublă de extorcare în care grupul ar încerca să-ți vândă datele și să păteze imaginea unui brand și relațiile cu clienții.
În general, o strategie bună pentru a contracara astfel de atacuri este să vă securizați rețeaua și să efectuați teste de simulare. Un atac ransomware are loc adesea din cauza vulnerabilităților necorecte, iar atacurile de simulare vă pot ajuta să le identificați.
O altă strategie cheie de atenuare este să verificați pe toată lumea înainte de a vă putea accesa rețeaua. Ca atare, o strategie de zero-trust poate fi benefică, deoarece funcționează pe principiul de bază de a nu avea niciodată încredere în nimeni și de a verifica fiecare utilizator și dispozitiv înainte de a le acorda acces la resursele de rețea.