REvil

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 27. marts 2022; checks kræver 4 redigeringer .
REvil
Organisationstype Hacking

REvil ( Ransomware Evil , også kendt som Sodinokibi ) er en organiseret gruppe (bande) af cyberkriminelle , der leverer ransomware-tjenester [1] . I tilfælde af afvisning af at betale løsesum offentliggjorde REvil ofrets fortrolige oplysninger på deres side kaldet Happy Blog . Gruppen var baseret i Rusland [2] og blev likvideret under en særlig operation af FSB i januar 2022 [3] .

Bemærkelsesværdige angreb

REvil anses for at være en af ​​de mest aktive cyberbander i verden [4] [5] . Nogle af REvils angreb har fået bred omtale.

Æble

REvil-angrebet på Apple blev kendt , hvor ordninger for virksomhedens fremtidige produkter blev stjålet.

Texas regering

REvil er blevet forbundet med et angreb i 2019 på snesevis af lokale regeringer i Texas [6] .

JBS SA

Ifølge FBI står REvil bag angrebet på JBS  , verdens største kødleverandør [7] .

Kaseya

Den 2. juli 2021 angreb REvil det amerikanske it-firma Kaseya, en virksomhedssoftwareudbyder, hvorefter angrebet spredte sig på tværs af netværk til Kaseyas kunder [a] . Omkring 200 klienter af Kaseya [b] [c] blev ofre for angrebet . Huntress Labs, et it-sikkerhedsfirma, kaldte angrebet kolossalt. Hackerne hævder at have fået adgang til en million computersystemer verden over som følge af Kaseya-angrebet og kræver 70 millioner dollars i bitcoins fra ofrene i bytte for en "universal dekryptering", som de siger vil være i stand til at genåbne alle filer [9 ] . Federal Cybersecurity Agency iværksatte en undersøgelse af hændelsen [6] .

BBC News bemærker, at angrebet på Kaseya fandt sted kort efter et topmøde mellem Ruslands og USA's præsidenter, som blandt andet diskuterede cybersikkerhedsspørgsmål [6] .

Forbindelse med Rusland

Observatører har bemærket ligheden mellem REvils metoder og DarkSide  , en anden hacker-kriminel gruppe med tilknytning til Rusland. For eksempel ligner ransomware-koden, der bruges af DarkSide, den, der bruges af REvil, hvilket tyder på, at DarkSide enten er en gaffel eller partner til REvil [10] [11] . Derudover bruger både DarkSide og REvil lignende krav om løsesum og den samme kode, der kontrollerer, at offeret ikke befinder sig i et CIS -land [12] .

Årsagen til amerikanske eksperters udtalelser om REvil-gruppens tilknytning og forbindelse til Rusland og de russiske specialtjenester var "karakteristiske elementer i chifferkoden og korrespondance på russisk" [13] . Igor Bederov, en ekspert ved SafeNet- ingeniørcentret for National Technology Initiative , mener, at kriminelle bevidst kan bruge fremmedsprog for at skjule deres nationalitet, for eksempel talte og korresponderede grupper af narkohandlere og menneskesmuglere kun på engelsk [14] [15] .

Positive Technologies- specialister bemærker, at antallet af hackerangreb i verden steg med 0,3 % i andet halvår af 2021 [16] [17] , antallet af angreb på russiske virksomheder tredobledes [18] [19]

Som det viste sig i januar 2022, var gruppen faktisk baseret i Rusland [20] .

Skjul

Den 13. juli 2021 holdt REvil-websteder på det mørke web op med at svare på søgeforespørgsler. Nogle eksperter i USA har foreslået, at REvils pludselige forsvinden fra darknet kan skyldes en telefonsamtale mellem præsidenterne i USA og Rusland dagen før [21] .

Førende udenlandske publikationer - New York Times , CNN , BBC , Threatpost, en uafhængig kilde til nyheder og analytisk materiale om cybersikkerhed, og andre - forbinder denne handling med en mulig blokering af gruppen af ​​amerikanske efterretningstjenester, indskrænkning af aktiviteter efter ordre fra Russiske efterretningstjenester eller hackere "gik simpelthen ind i skyggerne", som forlod netværksrummet for at beskytte sig selv mod mulig arrestation, ifølge eksperter, herunder teknologidirektøren hos BreachQuest, Jake Williams (født Jake Williams) [22 ] .

Den 14. januar 2022, under en særlig operation af FSB og det russiske indenrigsministerium , udført på anmodning fra de amerikanske myndigheder, blev gruppens aktiviteter stoppet. Tilbageholdelsen fandt sted på områderne Moskva , Skt. Petersborg , Moskva , Leningrad og Lipetsk- regionerne [20] . Hackerne beslaglagde 426 millioner rubler, 500 tusind euro, 600 tusind dollars, 20 premium-biler [3] [23] [5] .

Konsekvenser

Trustwave eksperter bemærkede, at urolighederne blandt hackere, der begyndte tilbage i 2021, blev intensiveret efter arrestationen af ​​REvil. Forumdeltagere begyndte at udveksle adskillige tips om, hvordan man beskytter sig selv, hvis russiske retshåndhævende myndigheder fortsætter med aktivt at bekæmpe cyberkriminalitet. Mange kritiserede REvils handlinger for prangende prale af dets præstationer og angreb på multi-milliard dollar selskaber beliggende i lande, der kunne tvinge den russiske regering til at handle [24] .

Ifølge informationssikkerhedsfirmaet ReversingLabs steg antallet af nye infektioner om dagen fra 24 (169 om ugen) til 26 (180 om ugen) efter anholdelserne af påståede medlemmer af gruppen. Dette tal er meget højere sammenlignet med september (43 infektioner pr. dag - 307 pr. uge) og oktober (22 infektioner pr. dag - 150 pr. uge), 2021, hvor REvil pludselig gik offline, men betydeligt lavere sammenlignet med juli (87 infektioner pr. dag) - 608 pr. uge) [25] .

Returner

Den 19. april var cybersikkerhedsspecialister pancak3 og Soufiane Tahiri de første til at bemærke aktiviteten på REvil-webstederne. Faktum er, at den nye "side for lækager" REvil begyndte at blive annonceret gennem den russisksprogede forum-markedsplads RuTOR (ikke at forveksle med torrent-trackeren af ​​samme navn). Det nye websted er hostet på et andet domæne, men linket til det originale REvil-websted, der var i brug, da gruppen stadig var aktiv. De 26 sider på webstedet viser også virksomheder, der har lidt under hænderne på ransomware, hvoraf de fleste er gamle ofre for REvil. Kun de sidste to angreb ser ud til at være relateret til den nye kampagne, og et af ofrene er olie- og gasselskabet Oil India. [26]

Noter

Kommentarer

  1. Kaseyas kundebase omfatter titusindvis af virksomheder i forskellige lande [6] .
  2. Angrebet blev udført på tærsklen til den lange weekend i forbindelse med Independence Day- ferien i USA, hvilket øgede den ondsindede effekt.
  3. Inklusiv, på grund af angrebet, blev 500 COOP- supermarkeder i Sverige [8] midlertidigt lukket .

Kilder

  1. McAfee ATR analyserer Sodinokibi aka REvil Ransomware-as-a-Service - The All-   Stars ? . McAfee Blogs (2. oktober 2019). Hentet 7. oktober 2020. Arkiveret fra originalen 26. september 2020.
  2. I byerne Moskva, Skt. Petersborg, Moskva, Leningrad og Lipetsk-regionerne blev ulovlige aktiviteter for medlemmer af et organiseret kriminelt samfund stoppet ... FSB fangede REvil-hackere. De afpressede 42 millioner dollars fra Trump for "snavset vasketøj" Arkiveret 15. januar 2022 på Wayback Machine
  3. 1 2 Detaljeret information :: Federal Security Service . www.fsb.ru _ Hentet 14. januar 2022. Arkiveret fra originalen 14. januar 2022.
  4. Hundredvis af amerikanske virksomheder var ofre for et cyberangreb. Linket til russiske hackere Arkiveret 3. juli 2021 på Wayback Machine , BBC, 03/07/2021
  5. 1 2 FSB tilbageholdt REvil hackergruppe efter amerikansk appel . TASS (14. januar 2022). Hentet 14. januar 2022. Arkiveret fra originalen 14. januar 2022.
  6. 1 2 3 4 Amerikanske virksomheder ramt af 'kolossalt' cyberangreb Arkiveret 3. juli 2021 på Wayback Machine , BBC, 3/07/2021
  7. JBS: Cyberangreb rammer verdens største kødleverandør Arkiveret 7. juni 2021 på Wayback Machine , BBC, 06/2/2021
  8. Svenske Coop-supermarkeder lukkede på grund af amerikansk ransomware-cyberangreb Arkiveret 4. juli 2021 på Wayback Machine , BBC, 4/07/2021
  9. Hackere kræver 70 millioner dollars i bitcoin fra ofre for Kaseya cyberangreb Arkiveret 5. juli 2021 på Wayback Machine , BBC, 07/05/2021
  10. ↑ David E. Sanger & Nicole Perlroth, FBI identificerer gruppen bag pipeline hack  . www.nytimes.com . Hentet 27. september 2021. Arkiveret fra originalen 6. juni 2021. , New York Times (10. maj 2021).
  11. Charlie Osborne, Forskere sporer fem datterselskaber af DarkSide ransomware-tjenesten  . www.zdnet.com . Hentet 27. september 2021. Arkiveret fra originalen 7. juni 2021. , ZDNet (12. maj 2021).
  12. Hvad vi ved om DarkSide Ransomware og det amerikanske  pipelineangreb . www.trendmicro.com . Hentet 27. september 2021. Arkiveret fra originalen 8. oktober 2021. , Trend Micro Research (14. maj 2021)
  13. Ransomware-bande, der ramte kødleverandør, forsvinder på mystisk vis fra  internettet . edition.cnn.com . Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  14. Gået ind i skyggerne: hvorfor REvil-hackergruppen indskrænkede sine aktiviteter . forbes.ru . Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  15. REvil hackergruppe vender tilbage til darknet efter at have været væk i flere uger . 3dnews.ru . Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  16. Antallet af cyberangreb i verden i andet kvartal af 2021 steg med 0,3 % . iz.ru. _ Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  17. Russiske virksomheder angrebet af det største inficerede netværk i internettets historie . lenta.ru . Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  18. Antallet af cyberangreb på russiske organisationer er tredoblet . cisoclub.ru _ Hentet: 27. september 2021.
  19. Spansk bot gik ombord . www.kommersant.ru _ Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  20. 1 2 FSB fangede REvil hackere. De afpressede 42 millioner dollars fra Trump for snavset vasketøj . Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  21. Hackergruppen REvil, som i USA er tilknyttet Kreml, er forsvundet fra darknet . Hentet 14. juli 2021. Arkiveret fra originalen 14. juli 2021.
  22. Ransomware Giant REvils websteder  forsvinder . threatpost.com . Hentet 27. september 2021. Arkiveret fra originalen 27. september 2021.
  23. Hundredvis af millioner rubler og snesevis af biler beslaglagt fra REvil-hackerbanden . Lenta.Ru (14. januar 2022). Hentet 14. januar 2022. Arkiveret fra originalen 14. januar 2022.
  24. Anholdelsen af ​​medlemmer af hackergruppen REvil ophidsede andre kriminelle Arkiveret 31. januar 2022 på Wayback Machine // Xakep.ru
  25. Anholdelser af medlemmer af REvil-gruppen påvirkede ikke dens aktivitet på nogen måde Arkiveret kopi dateret 28. januar 2022 på Wayback Machine // SecurityLab.ru
  26. Tor-steder i REvil-gruppen begyndte pludselig at arbejde igen  (russisk)  ? . Hentet 1. maj 2022. Arkiveret fra originalen 29. april 2022.