REvil — rosyjskojęzyczny gang ransomware znika
Słynny rosyjskojęzyczny gang REvil, zajmujący się oprogramowaniem ransomware, w tajemniczy sposób zniknął z Internetu po przeprowadzeniu głośnych ataków na setki firm na całym świecie.
Nadal nie jest jasne, dlaczego grupa przeszła w tryb offline, wraz ze swoimi blogami i witrynami płatniczymi. Ale jego nagłe zniknięcie zaledwie kilka dni po oświadczeniu prezydenta Bidena rodzi pytania o to, czy władze USA miały z tym coś wspólnego.
Kim jest Zło?
REvil (Ransomware Evil lub inaczej znany jako Sobinokibi) to rosyjskojęzyczny gang. Mają na celowniku tysiące głośnych firm na całym świecie. Grozili, że ujawnią informacje na swoim Happy Blogu, chyba że cele zapłacą okup.
Nikt nie był w stanie wskazać ich lokalizacji, ale uważa się, że ma siedzibę w Rosji, ponieważ gang nie atakuje rosyjskich firm ani regionów byłego bloku sowieckiego.
W przeszłości władze Wielkiej Brytanii i USA oskarżały również wirtualnych sieci prywatnych (VPN), aby atakować organizacje na całym świecie i ukrywać swoje cyfrowe ślady. Jednak rosyjska ambasada w USA zaprzeczyła oskarżeniom.
Cele REvil
W maju 2020 r. REvil ukradł prawie jeden terabajt poufnych informacji od firmy prawniczej Grubman Shire Meiselas & Sacks, twierdząc, że ma „brudne pranie" na prezydenta Trumpa. Gang zagroził udostępnieniem danych online, jeśli nie zostanie zapłacony program ransomware o wartości 42 milionów dolarów. Gang stwierdził:
„Następną osobą, którą opublikujemy, jest Donald Trump. Trwa wyścig wyborczy i na czas znaleźliśmy tonę brudnego prania. Panie Trump, jeśli chcesz pozostać prezydentem, szturchnij facetów ostrym kijem, w przeciwnym razie możesz zapomnieć o tej ambicji na zawsze.
W marcu 2021 r. REvil zaatakował Harris Federation, w wyniku czego system informatyczny organizacji został wyłączony na kilka tygodni, co miało wpływ na tysiące użytkowników.
W kwietniu 2021 r. REvil zaatakował Apple i ukradł plany dotyczące nadchodzących produktów Apple, w tym Apple Watch, laptopów i innych. Gang zażądał 50 milionów dolarów za informacje. Po ataku napisali na swoim Happy Blogu, mówiąc:
„Aby nie czekać na nadchodzącą prezentację Apple, dzisiaj my, grupa REvil, przedstawimy dane na temat nadchodzących premier tak uwielbianej przez wielu firmy. Tim Cook może ci podziękować Quanta.
W maju 2021 r. zaatakowano JBS SA, firmę przetwórstwa mięsnego z siedzibą w Brazylii, wyłączając jej rzeźnie. Już po kilku dniach ataku Biały Dom ogłosił, że za atakiem może stać REvil. JBS zapłacił REvil okup w wysokości 11 milionów dolarów w Bitcoin.
Ostatnim celem REvil była firma Kaseya, amerykański dostawca technologii. 2 lipca 2021 r. REvil zaatakował systemy Kaseya i zażądał 70 milionów dolarów okupu za przywrócenie ich danych. W wyniku ataku szwedzka sieć sklepów spożywczych Coop musiała na kilka dni zamknąć prawie 800 sklepów.
Był to jeden z największych ataków ransomware w historii. Atak dotknął tysiące małych firm na całym świecie. Po amerykańskiej Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury wszyscy użytkownicy zostali poproszeni o natychmiastowe wyłączenie serwerów VSA.
Atak został idealnie zgrany w piątek, przed długimi wakacjami w USA, aby rozprzestrzenić go tak szybko, jak to możliwe, bez wykrycia.
Biden podejmuje działania przeciwko REvil
Po ataku prezydent Joe Biden postanowił podjąć działania i polecił amerykańskim agencjom wywiadowczym zbadanie grupy stojącej za atakiem, który uderzył w setki amerykańskich firm.
10 lipca Biden zadzwonił do prezydenta Władimira Putina i powiedział, że musi „podjąć działania”. Biden dalej powiedział:
„Powiedziałem mu bardzo jasno, że Stany Zjednoczone oczekują, że gdy operacja oprogramowania ransomware nadejdzie z jego ziemi, mimo że nie jest sponsorowana przez państwo, oczekujemy, że podejmą działania, jeśli damy im wystarczająco dużo informacji, aby działać w sprawie tego, kto to jest”.
Zapytany, czy będą konsekwencje, Biden uśmiechnął się i powiedział: „Tak”. Powiedział też, że USA podejmą działania i usuną serwery grupy REvil, jeśli Moskwa nie podejmie działań.
Zniknięcie gangu REvil
Witryny REvil, blogi i „cała ich infrastruktura” popadły w ciemność, powiedział Allen Liska, analityk wywiadu z Recorded Future. Liska powiedziała również, że rzecznik publiczny REvil, zwany również „Nieznany”, „ nie był aktywny na forach dyskusyjnych od zeszłego czwartku”, a strona od jakiegoś czasu nie odpowiada.
Wciąż nie jest jasne, dlaczego grupa nagle zniknęła z internetu, czy też zniknięcie to jest tylko tymczasowe czy trwałe.
Ostatnie zmiany wywołały spekulacje na temat tego, czy ruch ten był własną decyzją REvil o zaprzestaniu działalności, takiej jak dawny rosyjski gang cyberprzestępczy DarkSide, czy też był wynikiem działań kierowanych przez rząd USA.
John Hultquist z Mandiant Threat Intelligence powiedział:
„Sytuacja wciąż się rozwija, ale dowody sugerują, że REvil doznał planowanego, równoczesnego usunięcia ich infrastruktury, przez samych operatorów lub za pośrednictwem przemysłu lub organów ścigania… Jeśli była to pewnego rodzaju operacja zakłócająca, pełne szczegóły mogą nigdy nie nadejść zapalić."
To oczywiście dobra rzecz, ale nie dla wszystkich docelowych firm, jak wskazuje Brett Callow z Emsisoft :
„Jeśli organom ścigania udałoby się zakłócić działalność gangu, byłoby to oczywiście dobre, ale mogłoby stworzyć problemy dla wszystkich firm, których dane są obecnie szyfrowane. Nie mieliby możliwości płacenia REvil za klucz potrzebny do odszyfrowania ich danych”.
Liska zauważyła również, że własność witryny REvil nie została jeszcze zmieniona, co zmniejsza prawdopodobieństwo przejęcia domeny. Powiedział również: „ może to sugerować, że są to samodzielne zabójstwa (za wcześnie, by powiedzieć).”
Do tej pory rzecznicy Rady Bezpieczeństwa Narodowego Białego Domu i Cyber Command nie skomentowali jeszcze ostatniego zniknięcia REvil. Nawet jeśli rząd Stanów Zjednoczonych stał za zniknięciem REvil, istnieją inne grupy oprogramowania ransomware, które nadal działają – co budzi obawy o bezpieczeństwo na całym świecie.