REvil, potężna operacja Ransomware-as-a-Service (RaaS), która po raz pierwszy wyszła na jaw pod koniec kwietnia 2019 r., powróciła. Wydaje się, że po sześciu miesiącach bezczynności — po nalocie rosyjskich władz — grupa oprogramowania ransomware wznowiła działalność.
Analiza nowych próbek oprogramowania ransomware ujawnia, że twórca ma dostęp do kodu źródłowego REvil, co oznacza, że grupa zagrożeń ponownie się pojawiła. Podejrzenia te zostały dodatkowo wzmocnione, gdy witryna ekipy ransomware została ponownie uruchomiona w ciemnej sieci.
Widzieliśmy już wiele grup oprogramowania ransomware, ale co sprawia, że REvil jest wyjątkowy? Co powrót grupy oznacza dla cyberświata? Dowiedzmy Się!
Co sprawia, że REvil Ransomware jest wyjątkowy?
REvil zbudował sobie reputację podążania za głośnymi i bardzo lukratywnymi celami oraz domagania się wygórowanych płatności od swoich ofiar. Jest to również jedna z pierwszych grup, które przyjęły taktykę podwójnego wymuszenia, w ramach której eksfiltrowali dane ofiary i je zaszyfrowali.
The oprogramowanie ransomware z podwójnym wyłudzeniem System pozwala REvil żądać dwóch okupów za wysokie zyski finansowe. W rozmowie z rosyjski OSINT, twórcy grupy twierdzili, że zarobili ponad 100 milionów dolarów w ciągu jednego roku, atakując duże przedsiębiorstwa. Jednak tylko część z nich trafiła do deweloperów, a lwią część dostali partnerzy.
Główne ataki ransomware REvil
Grupa REvil ransomware stoi za niektórymi z największe ataki ransomware w latach 2020-21. Grupa po raz pierwszy pojawiła się w centrum uwagi w 2020 roku, kiedy zaatakowała Travelex, co ostatecznie doprowadziło do upadku firmy. W następnym roku REvil zaczął pojawiać się na pierwszych stronach gazet, organizując wysoce lukratywne cyberataki, które zakłócały infrastrukturę publiczną i łańcuchy dostaw.
Grupa zaatakowała firmy takie jak Acer, Quanta Computer, JBS Foods oraz dostawcę oprogramowania i zarządzania IT, Kaseya. Grupa prawdopodobnie miała jakieś linki do notoryczny atak Colonial Pipeline, co zakłóciło łańcuch dostaw paliw w USA.
Po ataku ransomware Kaseya REvil grupa zamilkła na jakiś czas, aby złagodzić niechcianą uwagę, jaką sobie przyciągnęła. Było wiele spekulacji, że grupa planuje nową serię ataków latem 2021 roku, ale organy ścigania miały inne plany wobec operatorów REvil.
Dzień rozrachunku dla REvil Cyber Gang
Gdy znany gang ransomware pojawił się ponownie w związku z nowymi atakami, odkryli, że ich infrastruktura została naruszona i zwróciła się przeciwko nim. W styczniu 2022 r. rosyjska państwowa służba bezpieczeństwa FSB poinformowała, że na prośbę Stanów Zjednoczonych zakłóciła działalność grupy.
Kilku członków gangu zostało aresztowanych, a ich aktywa skonfiskowane, w tym miliony dolarów, euro i rubli, a także 20 luksusowych samochodów i portfele kryptowalut. Aresztowania ransomware REvil miały miejsce również w Europie Wschodniej, w tym w Polsce, gdzie władze zatrzymały podejrzanego o atak na Kaseya.
Upadek REvil po aresztowaniach kluczowych członków grupy był naturalnie mile widziany w środowisku bezpieczeństwa i wielu zakładało, że zagrożenie całkowicie minęło. Jednak poczucie ulgi było krótkotrwałe, ponieważ gang wznowił teraz swoją działalność.
Odrodzenie REvil Ransomware
Badacze z Bezpieczne prace przeanalizował próbkę złośliwego oprogramowania z marca i zasugerował, że gang może wrócić do działania. Naukowcy odkryli, że deweloper prawdopodobnie ma dostęp do oryginalnego kodu źródłowego używanego przez REvil.
Domena używana przez stronę wycieku REvil również zaczęła ponownie działać, ale teraz przekierowuje odwiedzających na nowy adres URL, na którym znajduje się ponad 250 organizacji ofiar REvil. Lista zawiera mieszankę starych ofiar REvil i kilka nowych celów.
Najważniejszą z nowych ofiar była Oil India — indyjska firma handlowa zajmująca się ropą naftową. Firma potwierdziła naruszenie danych i otrzymała żądanie okupu w wysokości 7,5 miliona dolarów. Chociaż atak wywołał spekulacje, że REvil wznawia operacje, wciąż pojawiały się pytania, czy była to operacja naśladująca.
Jedynym sposobem na potwierdzenie powrotu REvil było znalezienie próbki programu szyfrującego ransomware i sprawdzenie, czy został on skompilowany z oryginalnego kodu źródłowego.
Pod koniec kwietnia badacz Avast, Jakub Kroustek, odkrył program szyfrujący ransomware i potwierdził, że rzeczywiście jest to wariant REvil. Próbka nie szyfrowała plików, ale dodała losowe rozszerzenie do plików. Analitycy bezpieczeństwa powiedzieli, że był to błąd wprowadzony przez twórców ransomware.
Wielu analityków bezpieczeństwa stwierdziło, że nowa próbka oprogramowania ransomware jest powiązana z oryginalnym kodem źródłowym, co oznacza, że ktoś z gangu – na przykład główny programista – musiał być w to zamieszany.
Skład Grupy REvil
Ponowne pojawienie się REvil po rzekomych aresztowaniach na początku tego roku wywołało pytania o skład grupy i jej powiązania z rosyjskim rządem. Gang popadł w ciemność dzięki udanej dyplomacji amerykańskiej przed rozpoczęciem konfliktu rosyjsko-ukraińskiego.
Dla wielu nagłe odrodzenie się ugrupowania sugeruje, że Rosja może chcieć wykorzystać ją jako pomnożenie siły w trwających napięciach geopolitycznych.
Ponieważ nie zidentyfikowano jeszcze żadnej osoby, nie jest jasne, kto stoi za operacją. Czy są to te same osoby, które prowadziły poprzednie operacje, czy też przejęła je nowa grupa?
Skład grupy kontrolnej nadal pozostaje tajemnicą. Ale biorąc pod uwagę aresztowania na początku tego roku, prawdopodobnie grupa może mieć kilku operatorów, którzy wcześniej nie byli częścią REvil.
Dla niektórych analityków nierzadko zdarza się, że grupy oprogramowania ransomware przechodzą i pojawiają się ponownie w innych formach. Nie można jednak całkowicie wyeliminować możliwości, że ktoś wykorzysta reputację marki, aby zdobyć przyczółek.
Ochrona przed atakami ransomware REvil
Aresztowanie szefa REvil było wielkim dniem dla cyberbezpieczeństwa, zwłaszcza gdy grupy ransomware atakowały wszystko, od instytucji publicznych po szpitale i szkoły. Jednak jak widać w przypadku jakichkolwiek zakłóceń w działalności przestępczej online, nie oznaczało to końca pandemii oprogramowania ransomware.
Niebezpieczeństwem w przypadku REvil jest schemat podwójnego wymuszenia, w którym grupa próbowałaby sprzedać twoje dane i zepsuć wizerunek marki i relacje z klientami.
Ogólnie dobrą strategią przeciwdziałania takim atakom jest zabezpieczenie sieci i przeprowadzenie testów symulacyjnych. Atak ransomware często występuje z powodu niezałatanych luk w zabezpieczeniach, a ataki symulacyjne mogą pomóc w ich identyfikacji.
Inną kluczową strategią łagodzenia skutków jest weryfikacja wszystkich, zanim będą mogli uzyskać dostęp do Twojej sieci. W związku z tym strategia zerowego zaufania może być korzystna, ponieważ działa na zasadzie nigdy nikomu nie ufaj i weryfikuj każdego użytkownika i urządzenie przed przyznaniem im dostępu do zasobów sieciowych.
