REvil, didžiulė Ransomware-as-a-Service (RaaS) operacija, kuri pirmą kartą pasirodė 2019 m. balandžio mėn. pabaigoje, sugrįžo. Panašu, kad po šešių mėnesių neveiklumo (po Rusijos valdžios institucijų reido) išpirkos reikalaujančių programų grupė atnaujino savo veiklą.
Naujų išpirkos reikalaujančių programų pavyzdžių analizė atskleidžia, kad kūrėjas turi prieigą prie REvil šaltinio kodo, o tai reiškia, kad grėsmių grupė vėl atsirado. Šie įtarimai dar labiau sustiprėjo, kai išpirkos reikalaujančios programos įgulos svetainė vėl buvo paleista tamsiajame žiniatinklyje.
Anksčiau matėme daugybę išpirkos reikalaujančių programų grupių, bet kuo REvil ypatinga? Ką reiškia grupės sugrįžimas kibernetiniam pasauliui? Išsiaiškinkime!
Kuo REvil Ransomware yra unikalus?
„REvil“ susikūrė reputaciją siekdama aukšto lygio ir labai pelningų tikslų ir reikalaudama didelių atlyginimų iš savo aukų. Tai taip pat viena pirmųjų grupių, kurios ėmėsi dvigubo turto prievartavimo taktikos, kai išfiltravo aukos duomenis ir juos užšifravo.
The dvigubo turto prievartavimo išpirkos programa schema leidžia REvil reikalauti dviejų išpirkų už didelę finansinę naudą. Interviu su Rusų OSINT, grupės kūrėjai teigė, kad per vienerius metus uždirbo daugiau nei 100 mln. Tačiau tik dalis jos atiteko kūrėjams, o filialams teko liūto dalis.
Pagrindiniai REvil Ransomware atakos
„REvil“ išpirkos reikalaujančių programų grupė buvo už kai kurių didžiausių išpirkos reikalaujančių programų atakų 2020–2021 m. Grupė pirmą kartą dėmesio centre atsidūrė 2020 m., kai užpuolė „Travelex“ ir galiausiai privedė prie bendrovės žlugimo. Kitais metais „REvil“ pradėjo rašyti antraštes surengdama labai pelningas kibernetines atakas, kurios sutrikdė viešąją infrastruktūrą ir tiekimo grandines.
Grupė užpuolė tokias įmones kaip Acer, Quanta Computer, JBS Foods ir IT valdymo bei programinės įrangos tiekėją Kaseya. Greičiausiai grupė turėjo tam tikrų ryšių su liūdnai pagarsėjęs kolonijinio vamzdyno išpuolis, kuris sutrikdė degalų tiekimo grandinę JAV.
Po „Kaseya REvil“ išpirkos reikalaujančios programinės įrangos atakos grupė kurį laiką tylėjo, kad sumažintų nepageidaujamą dėmesį, kurį ji atkreipė į save. Buvo daug spėlionių, kad grupuotė planavo naują atakų seriją 2021 m. vasarą, tačiau teisėsauga turėjo kitų planų „REvil“ operatoriams.
„REvil Cyber Gang“ atsiskaitymo diena
Liūdnai pagarsėjusiai išpirkos reikalaujančių programų gaujai iškilus dėl naujų išpuolių, jie pastebėjo, kad jų infrastruktūra buvo pažeista, ir atsisuko prieš juos. 2022 metų sausį Rusijos valstybės saugumo tarnyba FSB paskelbė sužlugdžiusi grupuotės veiklą Jungtinių Valstijų prašymu.
Buvo suimti keli gaujos nariai, areštuotas jų turtas – milijonai JAV dolerių, eurų ir rublių, taip pat 20 prabangių automobilių ir kriptovaliutų piniginės. REvil išpirkos reikalaujančios programinės įrangos areštai taip pat buvo sulaikyti Rytų Europoje, įskaitant Lenkiją, kur pareigūnai laikė įtariamąjį Kaseya ataka.
REvil žlugimas po pagrindinių grupės narių areštų natūraliai buvo sveikintinas saugumo bendruomenėje, ir daugelis manė, kad grėsmė visiškai praėjo. Tačiau palengvėjimo jausmas buvo trumpalaikis, nes gauja atnaujino savo veiklą.
„REvil Ransomware“ atgimimas
Tyrėjai iš Saugūs darbai kovo mėnesį išanalizavo kenkėjiškų programų pavyzdį ir užsiminė, kad gauja gali vėl pradėti veikti. Tyrėjai nustatė, kad kūrėjas greičiausiai turi prieigą prie originalaus šaltinio kodo, kurį naudoja REvil.
„REvil“ nutekėjimo svetainės naudojamas domenas taip pat vėl pradėjo veikti, tačiau dabar jis nukreipia lankytojus į naują URL, kuriame nurodyta daugiau nei 250 REvil aukų organizacijų. Sąraše yra senų REvil aukų ir kelių naujų taikinių derinys.
„Oil India“ – Indijos naftos verslo įmonė – buvo ryškiausia iš naujų aukų. Bendrovė patvirtino duomenų pažeidimą ir jai pareikalavo 7,5 mln. USD išpirkos. Nors ataka sukėlė spėlionių, kad REvil atnaujina veiklą, vis dar kilo klausimų, ar tai buvo kopijavimo operacija.
Vienintelis būdas patvirtinti REvil sugrįžimą buvo rasti išpirkos reikalaujančios programos operacijos šifruotojo pavyzdį ir patikrinti, ar jis buvo sudarytas iš pirminio šaltinio kodo.
Balandžio pabaigoje Avast tyrinėtojas Jakubas Kroustekas atrado išpirkos reikalaujantį šifruotoją ir patvirtino, kad tai iš tikrųjų yra REvil variantas. Pavyzdys nešifravo failų, bet pridėjo atsitiktinį failų plėtinį. Saugumo analitikai teigė, kad tai klaida, kurią įvedė išpirkos reikalaujančių programų kūrėjai.
Keli saugumo analitikai pareiškė, kad naujasis išpirkos reikalaujančios programos pavyzdys yra susijęs su pirminiu šaltinio kodu, o tai reiškia, kad kažkas iš gaujos, pavyzdžiui, pagrindinis kūrėjas, turėjo būti įtrauktas.
REvil's Group sudėtis
REvil pasikartojimas po tariamų areštų šiais metais sukėlė klausimų dėl grupės sudėties ir jos ryšių su Rusijos vyriausybe. Gauja sutemo dėl sėkmingos JAV diplomatijos prieš prasidedant Rusijos ir Ukrainos konfliktui.
Daugeliui staigus grupės atgimimas leidžia manyti, kad Rusija gali norėti ją panaudoti kaip jėgos daugintojas besitęsiančioje geopolitinėje įtampoje.
Kadangi dar nenustatytas joks asmuo, neaišku, kas už šią operaciją. Ar tai tie patys asmenys, kurie vykdė ankstesnes operacijas, ar perėmė nauja grupė?
Kontroliuojančios grupės sudėtis vis dar yra paslaptis. Tačiau atsižvelgiant į anksčiau šiais metais įvykusius areštus, tikėtina, kad grupėje gali būti keli operatoriai, kurie anksčiau nebuvo REvil dalis.
Kai kuriems analitikams nėra neįprasta, kad išpirkos reikalaujančių programų grupės žlunga ir vėl pasirodo kitomis formomis. Tačiau negalima visiškai pašalinti galimybės, kad kas nors pasinaudos prekės ženklo reputacija, kad įsitvirtintų.
Apsauga nuo REvil Ransomware atakų
REvil valdovo areštas buvo didelė diena kibernetiniam saugumui, ypač kai išpirkos reikalaujančios grupės taikė į viską – nuo viešųjų įstaigų iki ligoninių ir mokyklų. Tačiau, kaip matyti iš bet kokio internetinės nusikalstamos veiklos sutrikimo, tai nereiškia, kad išpirkos reikalaujančios programinės įrangos pandemijos pabaiga.
Pavojus REvil atveju yra dvigubo turto prievartavimo schema, kai grupė bandys parduoti jūsų duomenis ir suterštų prekės ženklo įvaizdį bei santykius su klientais.
Apskritai, gera kovos su tokiomis atakomis strategija yra apsaugoti tinklą ir atlikti modeliavimo testus. Išpirkos reikalaujančios programinės įrangos ataka dažnai įvyksta dėl nepataisytų pažeidžiamumų, o modeliavimo atakos gali padėti jas identifikuoti.
Kita svarbi švelninimo strategija yra patikrinti visus prieš jiems pasiekiant jūsų tinklą. Iš esmės nulinio pasitikėjimo strategija gali būti naudinga, nes ji veikia remiantis pagrindiniu principu niekada niekuo nepasitikėti ir patikrinti kiekvieną vartotoją ir įrenginį prieš suteikiant jiems prieigą prie tinklo išteklių.