Печально известная русскоязычная банда вымогателей REvil таинственным образом исчезла из Интернета после проведения громких атак на сотни предприятий по всему миру.
До сих пор неясно, почему группа ушла в автономный режим вместе со своим блогом и платежными сайтами. Но его внезапное исчезновение всего через несколько дней после заявления президента Байдена вызывает вопросы о том, имеют ли к этому какое-то отношение власти США.
Кто такой РЕВИЛ?
REvil (Ransomware Evil или иначе известная как Sobinokibi) — русскоязычная банда. Они нацелились на тысячи крупных компаний по всему миру. Они угрожали опубликовать информацию в своем Happy Blog, если жертвы не заплатили выкуп.
Никто не смог точно определить их местонахождение, но считается, что они базируются в России, потому что банда не нацелена на российские компании или регионы бывшего советского блока.
В прошлом власти Великобритании и США также обвиняли виртуальных частных сетей (VPN), чтобы нацеливаться на организации по всему миру и скрывать свои цифровые следы. Однако посольство России в США отвергло обвинения.
Злые цели
В мае 2020 года REvil украла почти один терабайт конфиденциальной информации у юридической фирмы Grubman Shire Meiselas & Sacks, заявив, что у нее есть «грязное белье» на президента Трампа. Банда пригрозила опубликовать данные в сети, если программа-вымогатель на 42 миллиона долларов не будет оплачена. Банда заявила:
«Следующий человек, которого мы будем публиковать, — это Дональд Трамп. Идет предвыборная гонка, и мы вовремя нашли тонну грязного белья. Мистер Трамп, если вы хотите остаться президентом, ткните парней острой палкой, иначе вы можете навсегда забыть об этих амбициях».
В марте 2021 года REvil атаковал Harris Federation, в результате чего ИТ-система организации была отключена на несколько недель, что затронуло тысячи пользователей.
В апреле 2021 года REvil нацелился на Apple и украл планы будущих продуктов Apple, включая Apple Watch, ноутбуки и многое другое. Банда потребовала 50 миллионов долларов за информацию. После нападения они написали в своем счастливом блоге следующее:
«Чтобы не ждать предстоящей презентации Apple, сегодня мы, группа REvil, предоставим данные о грядущих релизах столь любимой многими компании. Тим Кук может сказать спасибо Quanta».
В мае 2021 года бразильская мясоперерабатывающая компания JBS SA подверглась нападению, в результате чего были выведены из строя ее скотобойни. Всего через несколько дней после атаки Белый дом объявил, что за атакой может стоять REvil. JBS заплатила REvil выкуп в размере 11 миллионов долларов в биткойнах.
Последней целью REvil стала компания Kaseya, поставщик технологий из США. 2 июля 2021 года REvil атаковал системы Kaseya и потребовал выкуп в размере 70 миллионов долларов за восстановление их данных. В результате атаки шведская сеть продуктовых магазинов Coop на несколько дней была вынуждена закрыть почти 800 магазинов.
Это была одна из крупнейших атак программ-вымогателей в истории. Атака затронула тысячи небольших компаний по всему миру. После сообщения Агентства кибербезопасности и безопасности инфраструктуры США всем пользователям было предложено немедленно отключить серверы VSA.
Атака была идеально рассчитана в пятницу, перед длинными выходными в США, чтобы распространить ее как можно быстрее и не быть обнаруженной.
Байден принимает меры против REvil
После нападения президент Джо Байден решил принять меры и поручил спецслужбам США провести расследование в отношении группы, стоящей за атакой, в результате которой пострадали сотни американских предприятий.
10 июля Байден позвонил президенту Владимиру Путину и сказал, что он должен «принять меры». Байден далее сказал:
«Я очень ясно дал ему понять, что Соединенные Штаты ожидают, что когда с его территории будет запущена операция по вымогательству, даже если она не спонсируется государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы действовать в отношении того, кто это».
Когда его спросили, будут ли последствия, Байден улыбнулся и сказал: «Да». Он также сказал, что США примут меры и отключат серверы группы REvil, если Москва не будет действовать.
Исчезновение банды REvil
Веб-сайты, блоги и «вся их инфраструктура» REvil ушли в тень, сказал Аллен Лиска, аналитик разведки из Recorded Future. Лиска также сообщила, что официальный представитель REvil, также известный как «Неизвестный», «не проявлял активности на досках объявлений с прошлого четверга», и сайт уже какое-то время не отвечает.
До сих пор неясно, почему группа внезапно исчезла из Интернета и является ли это исчезновение временным или постоянным.
Недавние изменения вызвали спекуляции о том, был ли этот шаг собственным решением REvil о прекращении операций, подобных бывшей российской банде киберпреступников DarkSide, или результатом действий правительства США.
Джон Халтквист из Mandiant Threat Intelligence сказал:
«Ситуация все еще развивается, но данные свидетельствуют о том, что REvil подвергся запланированному одновременному отключению своей инфраструктуры либо самими операторами, либо в результате действий отрасли или правоохранительных органов… Если это была какая-то операция по разрушению, полные подробности могут никогда не появиться. зажечь».
Это, безусловно, хорошо, но не для всех целевых компаний, как отмечает Бретт Кэллоу из Emsisoft :
«Если правоохранительным органам удастся помешать деятельности банды, это, безусловно, будет хорошо, но может создать проблемы для любых компаний, чьи данные в настоящее время зашифрованы. У них не будет возможности заплатить REvil за ключ, необходимый для расшифровки их данных».
Лиска также отметила, что право собственности на сайт REvil еще не изменилось, что снижает вероятность конфискации домена. Он также сказал: «Это может указывать на то, что это самостоятельные тейкдауны (слишком рано говорить)».
До сих пор представители Совета национальной безопасности Белого дома и Киберкомандования еще не прокомментировали последнее исчезновение REvil. Даже если правительство США стояло за исчезновением REvil, существуют другие группы вымогателей, которые все еще активны, что вызывает обеспокоенность по поводу безопасности во всем мире.