Grupa hakerska REvil w 2020 roku zarobiła 100 milionów dolarów – znana jest z domagania się od swoich ofiar rekordowo wysokich okupów. Eksperci od cyberbezpieczeństwa łączą REvil z Rosją – członkowie grupy korespondują ze sobą po rosyjsku. Kilka dni po rozmowie telefonicznej Putina i Bidena na temat działań hakerów z Rosji zasoby informacyjne REvil zniknęły z darknetu. Dlaczego REvil ograniczył swoją działalność i czy ma to związek z negocjacjami obu prezydentów? 0 udostępnień
W nocy 13 lipca cała infrastruktura grupy hakerskiej REvil zniknęła z darknetu. Rozprzestrzenia wirusy ransomware, które blokują firmom dostęp do urządzeń poprzez szyfrowanie danych i żądają okupu za deszyfrator. Jako pierwsi opowiedzieli o tym amerykańscy specjaliści ds. bezpieczeństwa informacji, a także amerykańskie media, w tym The New York Times i CNBC. W przypadku REvil wszystkie strony, za pośrednictwem których napastnicy żądali okupu od zaatakowanych firm, przestały działać: w rezultacie ich ofiary, nawet gdyby chciały, nie mogły otrzymać deszyfratora w zamian za pieniądze. Ponadto zniknął blog grupy: w nim firma opowiadała o swoich atakach i publikowała poufne informacje, za które jej ofiary odmawiały zapłaty.
Konto przedstawiciela REvil zostało zablokowane na forach cieni. Zazwyczaj administracja forów hakerskich blokuje konto, jeśli istnieje ryzyko zatrzymania jego właściciela, powiedział Forbesowi Oleg Skulkin, zastępca szefa Laboratorium Informatyki Śledczej Grupy IB. Uczestnicy jednego z forów poinformowali, że „wsparcie techniczne” dla REvil również nie było dostępne. Niektórzy z nich sugerowali, że odejście grupy było nieplanowane, ponieważ mieli „nierozwiązane problemy”.
Wszystko to wydarzyło się kilka dni po rozmowie telefonicznej między prezydentami Rosji i Stanów Zjednoczonych, podczas której Joe Biden zażądał od Władimira Putina zaprzestania działalności szantażystów z Rosji. Co się stało z grupą REvil i czy Rosja ma z tym coś wspólnego?
Rosyjski ślad
Grupa hakerów REvil (znana również jako Sodinokibi) pracuje w darknecie od 2019 roku. Firma REvil rozpowszechnia swojego wirusa ransomware za pośrednictwem partnerów (innych hakerów), którzy otrzymują 60-75% okupu, powiedział Kaspersky Lab w badaniu z maja 2021 r. Grupa znana jest również z żądania rekordowo wysokich okupów: w 2020 roku zarobiła 100 milionów dolarów.
REvil zazwyczaj atakuje sektor inżynieryjny i produkcyjny (30% wszystkich ataków), instytucje finansowe (14%), dostawców usług (9%), kancelarie prawne (7%) oraz firmy IT i telekomunikacyjne (7%). . W marcu 2021 r. grupa zaatakowała Acera, a w kwietniu wykradła dane przedstawiające rysunki od producenta sprzętu komputerowego Quanta Computer i opublikowała je: według REvil były to rysunki urządzeń Apple. Oprogramowanie ransomware zażądało od obu firm 50 milionów dolarów.
W wywiadzie dla rosyjskiego kanału OSINT Telegram przedstawiciel REvil powiedział, że grupa dostarcza partnerom oprogramowanie, deszyfrator, a także uczestniczy w negocjacjach dotyczących okupu i nacisku na ofiarę. „Zadaniem partnera jest infekowanie sieci i zabijanie kopii zapasowych. Pobierz pliki. Wszystko. Reszta to nasza troska ”- powiedział przedstawiciel REvil. Dodał, że w jednej trzeciej przypadków duże firmy płacą okup, aby zapobiec upublicznieniu ataku.
REvil przywiązuje dużą wagę do wyboru ofiar, mówi Nikita Komarov, analityk z Centrum Bezpieczeństwa Informacji Jet CSIRT, Jet Infosystems. Przede wszystkim oszuści są zainteresowani atakami na duże firmy, ponieważ są w stanie zapłacić okup w wysokości kilkudziesięciu lub setek milionów dolarów, zauważa Komarov.
Oszuści dla zabawy: kim są oni – rosyjscy hakerzy?
W czerwcu FBI oskarżyło REvil o zaatakowanie brazylijskiego producenta mięsa JBS. Z tego powodu firma musiała zawiesić pracę niektórych swoich przedsiębiorstw i zapłacić hakerom 11 milionów dolarów okupu. Amerykańscy eksperci wielokrotnie twierdzili, że REvil jest powiązany z Rosją i rosyjskimi służbami specjalnymi.
Przypisują grupę REvil Rosji ze względu na charakterystyczne elementy w kodzie oprogramowania ransomware, a także z powodu korespondencji między uczestnikami w języku rosyjskim, mówi Igor Bederov, ekspert w centrum inżynieryjnym SafeNet Narodowej Inicjatywy Technologicznej (NTI). Dodał jednak, że przestępcy mogą świadomie posługiwać się językami obcymi. „Na przykład na poziomie międzynarodowym zidentyfikowaliśmy grupy handlarzy narkotyków i ludzi, którzy komunikowali się przez telefon wyłącznie w języku angielskim, obawiając się algorytmów podsłuchiwania kluczowych fraz” – powiedział ekspert. Członkowie REvil sprawdzają, czy ich ofiary używają rosyjskojęzycznego układu klawiatury – w tym przypadku nie przeprowadzają ataku, powiedział Forbes źródło z rynku bezpieczeństwa informacji. Jest to powszechna praktyka wśród rosyjskojęzycznych hakerów, aby uniknąć uwagi lokalnych organów ścigania, powiedział źródło Forbes.
Aspekt polityczny
Na początku lipca 2021 r. REvil przeprowadził zakrojony na szeroką skalę atak na amerykańską firmę Kaseya, która zdalnie świadczy usługi IT. Hakerzy wykorzystali jedną z siedmiu luk Kaseya, przed którymi eksperci ds. cyberbezpieczeństwa ostrzegli firmę w kwietniu. Następnie Kaseya naprawiła tylko cztery z nich, pozostałe trzy problemy firma planowała rozwiązać później. W rezultacie ponad tysiąc organizacji klientów Kaseya stało się ofiarami REvil. Rzeczniczka Kaseya, Milie Acebal, powiedziała Forbesowi, że firma nie zidentyfikowała jeszcze rosyjskich organizacji wśród poszkodowanych klientów.
Wkrótce potem, 9 lipca, Biden i Putin rozmawiali przez telefon. Prezydent USA omówił „ataki hakerów dokonywane przez przestępców w Rosji, które wykorzystywały oprogramowanie ransomware i które dotknęły Stany Zjednoczone i inne kraje”. Według Bidena Rosja powinna podjąć kroki w celu zwalczania hakerów „działających w Rosji”. Później rzeczniczka Białego Domu Jane Psaki powiedziała, że władze USA nie powiązały jeszcze ataku na Kaseya z nikim, w tym z rządem rosyjskim. Jednak społeczność cyberbezpieczeństwa wierzy, że REvil działa z Rosji, ale ma kontakty na całym świecie, powiedział Psaki. „Na spotkaniu prezydent dał jasno do zrozumienia Putinowi, że jeśli rosyjski rząd nie może lub nie podejmie działań przeciwko przestępcom mieszkającym w Rosji, sami podejmiemy działania lub zastrzegamy sobie prawo do działania niezależnie” – powiedziała rzeczniczka Białego Domu.
Zaszyfrowany świat: jak działa WannaCry i co może zrobić oprogramowanie ransomware?
Zwróciłem uwagę
New York Times wymienił trzy główne wersje zniknięcia REvil. Według jednego z nich zasoby informacyjne grupy hakerskiej zostały zablokowane przez amerykańskie służby specjalne. Po rozmowie z Putinem Biden potwierdził dziennikarzom, że Stany Zjednoczone mogą zamknąć serwery rosyjskich cyberprzestępców. Według innej wersji, grupa REvil otrzymała od rosyjskich służb specjalnych rozkaz ograniczenia swojej działalności.
Bederew uważa, że „rosyjska” wersja zamknięcia REvil jest mało prawdopodobna. W Rosji tak naprawdę nie ma infrastruktury do skutecznego zwalczania cyberprzestępców, do tej pory oszuści w tym kraju są trudni do złapania, mówi. „Amerykanie uważają, że Rosja nie pozostaje w tyle za Stanami Zjednoczonymi pod względem technicznym, chociaż de facto tak nie jest” – zauważył Bederev.
Według trzeciej wersji hakerzy celowo zniknęli, ponieważ przyciągnęli do siebie zbyt dużo uwagi. Cyberprzestępcy mogli zostawić ślad podczas ostatniego ataku na Kaseya, „dlatego poszli w cień, aby uzyskać pewność”, uważa Komarov z Jet Infosystems. REvil może zakończyć swoją działalność w ślad za innymi grupami hakerów, takimi jak DarkSide, Avaddon i Babuk, mówi Vladimir Kuskov, szef działu zaawansowanych badań nad zagrożeniami w Kaspersky Lab. Babuk ogłosił, że zostanie zamknięty pod koniec kwietnia, stwierdzając, że planuje publicznie udostępnić kod źródłowy oprogramowania ransomware. „Z powodu poważnych włamań operatorzy oprogramowania ransomware przyciągnęli zbyt wiele uwagi, więc wielu zdecydowało się zejść na dno lub przynajmniej opuścić przestrzeń półpubliczną” – zgadza się Skulkin z Group-IB.
Zniszczenie REvil stało się politycznym zadaniem w Stanach Zjednoczonych, z którego nie zrezygnują w nadchodzących latach, powiedział Bederev. Najbardziej słuszną rzeczą w tym przypadku jest rozproszenie, aby połączyć się ponownie w innym miejscu, pod inną nazwą i ze zmodyfikowanym oprogramowaniem – zauważył.