REvil, страхотна операция Ransomware-as-a-Service (RaaS), която за първи път излезе наяве в края на април 2019 г., се завърна. След шест месеца бездействие - след нападението на руските власти - групата за изкупуване изглежда е възобновила дейността си.
Анализът на нови проби за рансъмуер разкрива, че разработчикът има достъп до изходния код на REvil, което означава, че групата заплахи се е появила отново. Тези подозрения бяха допълнително засилени, когато сайтът на екипа на рансъмуера се стартира отново в тъмната мрежа.
Виждали сме много групи за ransomware преди, но какво прави REvil специален? Какво означава завръщането на групата за кибер света? Нека разберем!
Какво прави REvil Ransomware уникален?
REvil изгради репутация, че преследва високопоставени и високодоходни цели и изисква прекомерни плащания от своите жертви. Това е и една от първите групи, които възприеха тактиката за двойно изнудване, при която ексфилтрираха данните на жертвата и ги криптираха.
В двойно изнудване ransomware Схемата позволява на REvil да поиска два откупа за големи финансови печалби. В интервю с
Руски OSINT, разработчиците на групата твърдят, че са направили повече от 100 милиона долара за една година, като са се насочили към големи предприятия. Въпреки това, само малка част от него отиде при разработчиците, докато филиалите получиха лъвския дял.Основни атаки на REvil Ransomware
Групата REvil ransomware стои зад някои от най-големите атаки на ransomware през 2020-2021 г. Групата за първи път влезе в светлината на прожекторите през 2020 г., когато атакува Travelex, което в крайна сметка доведе до смъртта на компанията. Следващата година REvil започна да прави заглавия, като организира изключително доходоносни кибер атаки, които нарушиха обществената инфраструктура и веригите за доставки.
Групата атакува компании като Acer, Quanta Computer, JBS Foods и доставчика на ИТ управление и софтуер Kaseya. Групата вероятно е имала някакви връзки с прословутата атака на колониалния тръбопровод, което наруши веригата за доставка на гориво в САЩ.
След атаката на откупа на Kaseya REvil, групата замълча за известно време, за да смекчи нежеланото внимание, което беше довела до себе си. Имаше много спекулации, че групата планира нова серия от атаки през лятото на 2021 г., но правоприлагащите органи имаха други планове за операторите на REvil.
Ден на разплата за REvil Cyber Gang
Когато прословутата банда за откупи се появи отново за нови атаки, те откриха, че инфраструктурата им е компрометирана и се обърнаха срещу тях. През януари 2022 г. руската служба за държавна сигурност ФСБ обяви, че е прекъснала дейността на групата по искане на Съединените щати.
Няколко членове на бандата бяха арестувани, а активите им бяха иззети, включително милиони щатски долари, евро и рубли, както и 20 луксозни коли и портфейли с криптовалута. Арестите на софтуера за откуп REvil бяха извършени и в Източна Европа, включително Полша, където властите държаха заподозрян за атаката на Kaseya.
Падането на REvil след арестите на ключови членове на групата беше естествено приветствано в общността за сигурност и мнозина предположиха, че заплахата е преминала напълно. Усещането за облекчение обаче беше краткотрайно, тъй като бандата вече възобнови дейността си.
Възраждането на REvil Ransomware
Изследователи от Secureworks анализира проба от зловреден софтуер от март и намекна, че бандата може да се върне в действие. Изследователите установиха, че разработчикът вероятно има достъп до оригиналния изходен код, използван от REvil.
Домейнът, използван от уебсайта за течове на REvil, също започна да работи отново, но сега пренасочва посетителите към нов URL адрес, където са изброени повече от 250 организации жертви на REvil. Списъкът съдържа комбинация от стари жертви на REvil и няколко нови мишени.
Oil India - индийска компания за петролен бизнес - беше най-известната от новите жертви. Компанията потвърди нарушението на данните и беше обслужена с искане за откуп от 7,5 милиона долара. Въпреки че атаката предизвика спекулации, че REvil възобновява дейността си, все още имаше въпроси дали това е операция за копиране.
Единственият начин да се потвърди завръщането на REvil беше да се намери извадка от криптора на операцията за рансъмуер и да се види дали е компилиран от оригиналния изходен код.
В края на април изследователят на Avast Якуб Крустек откри шифратора на ransomware и потвърди, че това наистина е вариант на REvil. Пробата не криптира файлове, но добавя произволно разширение към файловете. Анализатори по сигурността казаха, че това е грешка, въведена от разработчиците на ransomware.
Множество анализатори по сигурността заявиха, че новата извадка за рансъмуер е свързана с оригиналния изходен код, което означава, че някой от бандата - например основен разработчик - трябва да е бил замесен.
Съставът на REvil's Group
Повторната поява на REvil след предполагаемите арести по-рано тази година повдигна въпроси относно състава на групата и връзките й с руското правителство. Бандата потъмня поради успешната американска дипломация преди началото на конфликта Русия-Украйна.
За мнозина внезапното възраждане на групата предполага, че Русия може да иска да я използва като умножител на сила в продължаващото геополитическо напрежение.
Тъй като все още не е идентифицирано лице, не е ясно кой стои зад операцията. Това ли са същите лица, които са ръководили предишните операции, или нова група е поела?
Съставът на контролиращата група все още е загадка. Но предвид арестите по-рано тази година, вероятно групата може да има няколко оператора, които преди това не са били част от REvil.
За някои анализатори не е необичайно групите за ransomware да намаляват и да се появяват отново в други форми. Въпреки това, човек не може напълно да елиминира възможността някой да използва репутацията на марката, за да се укрепи.
Защита срещу атаки на REvil Ransomware
Арестът на краля на REvil беше голям ден за киберсигурността, особено когато групите за рансъмуер бяха насочени към всичко - от обществени институции до болници и училища. Но както се вижда при всяко прекъсване на онлайн престъпната дейност, това не означаваше края на пандемията на ransomware.
Опасността в случая с REvil е схемата за двойно изнудване, при която групата ще се опита да продаде вашите данни и да опетни имиджа на марката и взаимоотношенията с клиентите.
Като цяло, добра стратегия за противодействие на подобни атаки е да защитите вашата мрежа и да проведете симулационни тестове. Атака на ransomware често се случва поради непокрити уязвимости, а симулационните атаки могат да ви помогнат да ги идентифицирате.
Друга ключова стратегия за смекчаване е да проверите всички, преди да имат достъп до вашата мрежа. Като такава, стратегията с нулево доверие може да бъде от полза, тъй като работи на основния принцип никога да не се доверявате на никого и да проверявате всеки потребител и устройство, преди да им предоставите достъп до мрежови ресурси.
