REvil – venekeelne lunavarade gäng kaob

Viimati uuendatud juuni 20, 2023

Sisu

Kurikuulus venekeelne lunavarajõuk REvil on salapäraselt Internetist kadunud pärast seda, kui korraldas kõrgetasemelisi rünnakuid sadade ettevõtete vastu kogu maailmas.

Siiani on ebaselge, miks grupp koos oma ajaveebi ja makseveebisaitidega võrguühenduseta on läinud. Kuid selle ootamatu kadumine vaid mõni päev pärast president Bideni avaldust tekitab kahtlusi, kas USA võimudel oli sellega midagi pistmist.

Kes on REvil?

REvil (Ransomware Evil või muul viisil tuntud kui Sobinokibi) on venekeelne jõuk. Nad on võtnud sihikule tuhandeid kõrgetasemelisi ettevõtteid üle kogu maailma. Nad ähvardavad avaldada teabe oma Happy Blogis, kui sihtmärgid ei maksa lunaraha.

Keegi ei ole suutnud nende asukohta täpselt kindlaks teha, kuid arvatakse, et see asub Venemaal, sest jõugu ei sihi Venemaa ettevõtteid ega endise Nõukogude bloki piirkondi.

Varem on Ühendkuningriigi ja USA võimud süüdistanud virtuaalsete privaatvõrkude (VPN)jõudu, et sihtida organisatsioone kogu maailmas ja varjata nende digitaalset jalajälge. Venemaa saatkond USA-s lükkas aga süüdistused tagasi.

REvil Targets

2020 aasta mais varastas REvil Grubman Shire Meiselas & Sacksi advokaadibüroolt peaaegu ühe terabaidi konfidentsiaalset teavet, väites, et tal on president Trumpile "musta pesu". Jõuk ähvardas andmeid veebis avaldada, kui 42 miljoni dollari suuruse lunavara eest ei maksta. Jõuk teatas:

"Järgmine inimene, kelle me avaldame, on Donald Trump. Käimas on valimisvõistlus ja me leidsime õigel ajal tonni musta pesu. Härra Trump, kui soovite presidendiks jääda, torkake kuttide pihta terav tikk, vastasel juhul võite selle ambitsiooni igaveseks unustada.

2021 aasta märtsis ründas REvil Harrise Föderatsiooni, mille tulemusena suleti organisatsiooni IT-süsteem nädalateks, mõjutades tuhandeid kasutajaid.

2021 aasta aprillis võttis REvil sihikule Apple'i ja varastas tulevaste Apple'i toodete, sealhulgas Apple Watchi, sülearvutite ja muu plaanid. Jõuk nõudis teabe eest 50 miljonit dollarit. Pärast rünnakut postitasid nad oma Happy Blogi, öeldes:

„Et mitte oodata Apple'i eelseisvat esitlust, anname täna meie, REvil grupp, andmed paljude poolt nii armastatud ettevõtte eelseisvate väljaannete kohta. Tim Cook võib Quanta tänada.

2021 aasta mais rünnati Brasiilias asuvat lihatöötlemisettevõtet JBS SA, mille käigus muudeti selle tapamajad töövõimetuks. Vahetult pärast mõnepäevast rünnakut teatas Valge Maja, et rünnaku taga võib olla REvil. JBS maksis REvilile Bitcoinis 11 miljonit dollarit lunaraha.

REvili viimane sihtmärk oli USA tehnoloogiapakkuja Kaseya. 2 juulil 2021 võttis REvil sihikule Kaseya süsteemid ja nõudis nende andmete taastamiseks 70 miljonit dollarit lunaraha . Toidukaupluste kett Swedish Coop pidi rünnaku tagajärjel mitmeks päevaks sulgema ligi 800 kauplust.

See oli üks suurimaid lunavararünnakuid ajaloos. Rünnak mõjutas tuhandeid väikeettevõtteid üle kogu maailma. Pärast USA küberturvalisuse ja infrastruktuuri turvaametit paluti kõigil kasutajatel VSA serverid viivitamatult sulgeda.

Rünnak oli täpselt ajastatud reedel, enne pikka puhkust USA-s, et see levitaks võimalikult kiiresti, ilma et see avastataks.

Biden astub REvili vastu samme

Pärast rünnakut otsustas president Joe Biden tegutseda ja andis USA luureagentuuridele ülesandeks uurida sadu Ameerika ettevõtteid tabanud rünnaku taga olevat rühmitust.

10 juulil helistas Biden president Vladimir Putinile ja ütles, et ta peab tegutsema. Biden ütles veel:

"Tegin talle väga selgeks, et USA eeldab, et kui lunavara operatsioon tuleb tema pinnalt, kuigi riik seda ei sponsoreeri, ootame, et nad tegutseksid, kui anname neile piisavalt teavet, et tegutseda selle kohta, kes see on."

Kui Bidenilt küsiti, kas sellel on tagajärjed, naeratas ta ja vastas: "Jah." Ta ütles ka, et kui Moskva ei tegutse, astub USA samme ja võtab REvili grupi serverid maha.

REvil jõugu kadumine

REvili veebisaidid, ajaveebid ja "kogu nende infrastruktuur" on pimedaks jäänud, ütles Recorded Future'i luureanalüütik Allen Liska. Liska ütles ka, et REvili avalik pressiesindaja, keda kutsutakse ka "tundmatuks", " ei ole teadetetahvlitel alates eelmisest neljapäevast olnud aktiivne" ja sait pole juba mõnda aega reageerinud.

Siiani on ebaselge, miks rühmitus ootamatult internetist kadunud on või on kadumine vaid ajutine või püsiv.

Hiljutised muudatused on tekitanud spekulatsioone selle üle, kas see samm oli REvili enda otsus lõpetada tegevus nagu endine Venemaa küberkuritegude jõugu DarkSide või oli see USA valitsuse juhitud tegevuse tulemus.

John Hultquist Mandiant Threat Intelligence'ist ütles:

"Olukord areneb endiselt, kuid tõendid näitavad, et REvil on oma infrastruktuuri planeeritud ja samaaegselt maha võtnud kas operaatorite endi või tööstuse või õiguskaitsemeetmete kaudu… Kui see oli mingi häire tegevus, ei pruugi kõik üksikasjad kunagi ilmneda. valgustama."

See on ilmselgelt hea asi, kuid mitte kõigi sihtettevõtete jaoks, nagu märgib Brett Callow Emsisoftist :

"Kui korrakaitsjatel õnnestub jõugu tegevust häirida, oleks see ilmselgelt hea, kuid see võib tekitada probleeme kõigile ettevõtetele, kelle andmed on praegu krüpteeritud. Neil poleks võimalust REvilile nende andmete dekrüpteerimiseks vajaliku võtme eest maksta.

Liska märkis ka, et REvili saidi omandiõigust ei ole veel muudetud, mistõttu on domeeni arestimise võimalus vähem tõenäoline. Ta ütles ka: " See võib viidata sellele, et tegemist on endapoolse eemaldamisega (liiga vara öelda)."

Seni pole Valge Maja riikliku julgeolekunõukogu ja küberväejuhatuse pressiesindajad viimast REvili kadumist veel kommenteerinud. Isegi kui REvili kadumise taga oli USA valitsus, on ka teisi lunavararühmitusi, mis on endiselt aktiivsed, suurendades seega turvaprobleeme kogu maailmas.