REvil

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 27 martie 2022; verificările necesită 4 modificări .
REvil
Tipul organizației Hacking

REvil ( Ransomware Evil , cunoscut și sub numele de Sodinokibi ) este un grup organizat (bandă) de infractori cibernetici care furnizează servicii ransomware [1] . În cazul refuzului de a plăti răscumpărarea , REvil a publicat informațiile confidențiale ale victimei pe pagina lor numită Happy Blog . Grupul avea sediul în Rusia [2] și a fost lichidat în timpul unei operațiuni speciale de către FSB în ianuarie 2022 [3] .

Atacuri notabile

REvil este considerată a fi una dintre cele mai active bande cibernetice din lume [4] [5] . Unele dintre atacurile REvil au primit o largă publicitate.

Măr

Atacul REvil asupra Apple a câștigat notorietate , timp în care schemele pentru viitoarele produse ale companiei au fost furate.

Guvernul Texas

REvil a fost legat de un atac din 2019 asupra a zeci de guverne locale din Texas [6] .

JBS SA

Potrivit FBI , REvil se află în spatele atacului asupra JBS  , cel mai mare furnizor de carne din lume [7] .

Kaseya

Pe 2 iulie 2021, REvil a atacat compania americană de IT Kaseya, un furnizor de software corporativ, după care atacul s-a răspândit în rețele la clienții Kaseya [a] . Aproximativ 200 de clienți ai Kaseya [b] [c] au devenit victime ale atacului . Huntress Labs, o companie de securitate IT, a numit atacul colosal. Hackerii susțin că au obținut acces la un milion de sisteme informatice din întreaga lume ca urmare a atacului Kaseya și cer de la victime 70 de milioane de dolari bitcoin în schimbul unui „decriptor universal” despre care spun că va putea redeschide toate fișierele [9] ] . Agenția Federală de Securitate Cibernetică a lansat o investigație asupra incidentului [6] .

BBC News notează că atacul asupra Kaseya a avut loc la scurt timp după o întâlnire la summit între președinții Rusiei și Statelor Unite, în care s-a discutat, printre altele, probleme de securitate cibernetică [6] .

Legătura cu Rusia

Observatorii au remarcat asemănarea metodelor lui REvil cu DarkSide  , un alt grup criminal de hacking cu legături cu Rusia. De exemplu, codul ransomware folosit de DarkSide seamănă cu cel folosit de REvil, sugerând că DarkSide este fie un furk, ​​fie partener al REvil [10] [11] . În plus, atât DarkSide, cât și REvil folosesc cereri de răscumpărare redactate în mod similar și același cod care verifică dacă victima nu se află într-o țară CSI [12] .

Motivul declarațiilor experților americani cu privire la afilierea și legătura grupului REvil cu Rusia și serviciile speciale ruse a fost „elementele caracteristice în codul de cifră și corespondența în limba rusă” [13] . Igor Bederov, expert la centrul de inginerie SafeNet al Inițiativei Naționale Tehnologice , consideră că infractorii pot folosi în mod deliberat limbi străine pentru a-și ascunde naționalitatea, de exemplu, grupuri de traficanți de droguri și traficanți de oameni au vorbit și au corespuns numai în engleză [14] [15] .

Specialiștii din Positive Technologies notează că numărul atacurilor hackerilor din lume a crescut cu 0,3% în a doua jumătate a anului 2021 [16] [17] , numărul atacurilor asupra companiilor rusești s-a triplat [18] [19]

După cum sa dovedit în ianuarie 2022, grupul avea într-adevăr sediul în Rusia [20] .

Restrânge

Pe 13 iulie 2021, site-urile REvil de pe dark web au încetat să mai răspundă la interogările de căutare. Unii experți din SUA au sugerat că dispariția bruscă a lui REvil din darknet se poate datora unei convorbiri telefonice între președinții SUA și Rusia cu o zi înainte [21] .

Publicații străine de top - New York Times , CNN , BBC , Threatpost, o sursă independentă de știri și materiale analitice privind securitatea cibernetică și altele - au legat această acțiune de o posibilă blocare a grupului de către serviciile de informații americane, restrângerea activităților la ordinul Serviciile ruse de informații, sau hackerii pur și simplu „au intrat în umbră”, pentru care au părăsit spațiul rețelei pentru a se proteja de o eventuală arestare, potrivit experților, inclusiv directorul de tehnologie la BreachQuest, Jake Williams (n. Jake Williams) [22] ] .

La 14 ianuarie 2022, în cadrul unei operațiuni speciale a FSB și a Ministerului rus al Afacerilor Interne , desfășurată la solicitarea autorităților americane, activitățile grupului au fost oprite. Reținerea a avut loc pe teritoriul regiunilor Moscova , Sankt Petersburg , Moscova , Leningrad și Lipetsk [20] . Hackerii au confiscat 426 de milioane de ruble, 500 de mii de euro, 600 de mii de dolari, 20 de mașini premium [3] [23] [5] .

Consecințele

Experții Trustwave au remarcat că tulburările dintre hackeri care au început în 2021 s-au intensificat după arestarea lui REvil. Participanții la forum au început să schimbe numeroase sfaturi despre cum să se protejeze dacă agențiile ruse de aplicare a legii continuă să lupte activ împotriva criminalității cibernetice. Mulți au criticat acțiunile REvil pentru lăudarea ostentativă cu realizările sale și atacurile asupra corporațiilor de mai multe miliarde de dolari situate în țări care ar putea forța guvernul rus să ia măsuri [24] .

Potrivit companiei de securitate a informațiilor ReversingLabs, după arestările presupușilor membri ai grupului, numărul de noi infecții pe zi a crescut de la 24 (169 pe săptămână) la 26 (180 pe săptămână). Această cifră este mult mai mare în comparație cu septembrie (43 de infecții pe zi - 307 pe săptămână) și octombrie (22 de infecții pe zi - 150 pe săptămână), 2021, când REvil a fost brusc offline, dar semnificativ mai scăzută comparativ cu iulie (87 de infecții pe zi). - 608 pe săptămână) [25] .

Întoarcere

Pe 19 aprilie, specialiștii în securitate cibernetică pancak3 și Soufiane Tahiri au fost primii care au observat activitatea site-urilor REvil. Cert este că noul „site pentru scurgeri” REvil a început să fie promovat prin intermediul forumului-piață în limba rusă RuTOR (a nu fi confundat cu tracker-ul de torrent cu același nume). Noul site este găzduit pe un alt domeniu, dar este legat de site-ul original REvil care era în uz când grupul era încă activ. Pe cele 26 de pagini ale site-ului sunt enumerate și companiile care au suferit din cauza ransomware-ului, majoritatea fiind victime vechi ale REvil. Doar ultimele două atacuri par a fi legate de noua campanie, iar una dintre victime este compania de petrol și gaze Oil India. [26]

Note

Comentarii

  1. Baza de clienți a Kaseya include zeci de mii de companii din diferite țări [6] .
  2. Atacul a fost efectuat în ajunul weekendului prelungit asociat sărbătorii Zilei Independenței din Statele Unite, ceea ce a crescut efectul rău intenționat.
  3. Inclusiv, din cauza atacului, 500 de supermarketuri COOP din Suedia [8] au fost închise temporar .

Surse

  1. McAfee ATR analizează Sodinokibi, alias REvil Ransomware-as-a-Service - The All-   Stars ? . Bloguri McAfee (2 octombrie 2019). Preluat la 7 octombrie 2020. Arhivat din original la 26 septembrie 2020.
  2. În orașele din regiunile Moscova, Sankt Petersburg, Moscova, Leningrad și Lipetsk, activitățile ilegale ale membrilor unei comunități criminale organizate au fost oprite... FSB a prins hackeri REvil. Au extorcat 42 de milioane de dolari de la Trump pentru „rufe murdare” Arhivat 15 ianuarie 2022 la Wayback Machine
  3. 1 2 Informații detaliate :: Serviciul Federal de Securitate . www.fsb.ru _ Preluat la 14 ianuarie 2022. Arhivat din original la 14 ianuarie 2022.
  4. Sute de companii americane au fost victimele unui atac cibernetic. Legat de hackeri ruși Arhivat 3 iulie 2021 la Wayback Machine , BBC, 03.07.2021
  5. 1 2 FSB a reținut grupul de hackeri REvil după apelul SUA . TASS (14 ianuarie 2022). Preluat la 14 ianuarie 2022. Arhivat din original la 14 ianuarie 2022.
  6. 1 2 3 4 Companii din SUA lovite de un atac cibernetic „colosal” Arhivat la 3 iulie 2021 la Wayback Machine , BBC, 3/07/2021
  7. JBS: Un atac cibernetic îl lovește pe cel mai mare furnizor de carne din lume Arhivat 7 iunie 2021 la Wayback Machine , BBC, 06.02.2021
  8. Supermarketurile Coop suedeze închise din cauza atacului cibernetic de tip ransomware din SUA Arhivat la 4 iulie 2021 la Wayback Machine , BBC, 4.07.2021
  9. Hackerii cer 70 de milioane de dolari în bitcoin de la victimele atacului cibernetic Kaseya Arhivat 5 iulie 2021 la Wayback Machine , BBC, 07.05.2021
  10. ↑ David E. Sanger și Nicole Perlroth, FBI identifică grupul din spatele hack-ului de conducte  . www.nytimes.com . Preluat la 27 septembrie 2021. Arhivat din original la 6 iunie 2021. , New York Times (10 mai 2021).
  11. Charlie Osborne, Cercetătorii urmăresc cinci afiliați ai serviciului de ransomware DarkSide  . www.zdnet.com . Preluat la 27 septembrie 2021. Arhivat din original la 7 iunie 2021. , ZDNet (12 mai 2021).
  12. Ce știm despre ransomware-ul DarkSide și atacul pipeline din  SUA . www.trendmicro.com . Preluat la 27 septembrie 2021. Arhivat din original la 8 octombrie 2021. , Trend Micro Research (14 mai 2021)
  13. Banda de ransomware care a lovit furnizorul de carne dispare în mod misterios de pe  internet . editie.cnn.com . Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  14. Plecat în umbră: de ce grupul de hackeri REvil și-a redus activitățile . forbes.ru . Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  15. Grupul de hackeri REvil se întoarce pe darknet după ce a fost plecat câteva săptămâni . 3dnews.ru . Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  16. Numărul de atacuri cibernetice din lume în al doilea trimestru al anului 2021 a crescut cu 0,3% . iz.ru. _ Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  17. ↑ Companii ruse atacate de cea mai mare rețea infectată din istoria Internetului . lenta.ru . Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  18. Numărul atacurilor cibernetice asupra organizațiilor rusești sa triplat . cisoclub.ru _ Preluat: 27 septembrie 2021.
  19. Botul spaniol s-a îmbarcat . www.kommersant.ru _ Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  20. 1 2 FSB a prins hackeri REvil. Au extorcat 42 de milioane de dolari de la Trump pentru rufe murdare . Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  21. Grupul de hackeri REvil, care în SUA este asociat cu Kremlinul, a dispărut din darknet . Preluat la 14 iulie 2021. Arhivat din original la 14 iulie 2021.
  22. Site-urile lui Giant REvil ransomware  dispar . threatpost.com . Preluat la 27 septembrie 2021. Arhivat din original la 27 septembrie 2021.
  23. Sute de milioane de ruble și zeci de mașini confiscate de la banda de hackeri REvil . Lenta.Ru (14 ianuarie 2022). Preluat la 14 ianuarie 2022. Arhivat din original la 14 ianuarie 2022.
  24. Arestarea membrilor grupului de hack REvil a entuziasmat alți criminali Arhivat 31 ianuarie 2022 la Wayback Machine // Xakep.ru
  25. Arestările membrilor grupului REvil nu i-au afectat în niciun fel activitatea Copie arhivată din 28 ianuarie 2022 la Wayback Machine // SecurityLab.ru
  26. Site-urile Tor ale grupului REvil au început brusc să lucreze din nou  (rusă)  ? . Preluat la 1 mai 2022. Arhivat din original la 29 aprilie 2022.