REvil – зникла російськомовна банда програм-вимагачів

Останнє оновлення Чер 20, 2023

Зміст

Сумнозвісна російськомовна банда програм-вимагачів REvil таємничим чином зникла з Інтернету після того, як здійснила гучні атаки на сотні компаній по всьому світу.

Досі незрозуміло, чому група перейшла в автономний режим, а також її блог і платіжні веб-сайти. Але його раптове зникнення всього через кілька днів після заяви президента Байдена викликає питання про те, чи мала влада США до цього відношення.

Хто такий REvil?

REvil (Ransomware Evil або інакше відомий як Sobinokibi) — російськомовна банда. Вони націлені на тисячі високопоставлених компаній по всьому світу. Вони погрожували б оприлюднити інформацію на своєму Happy Blog, якщо цілі не заплатять викуп.

Ніхто не зміг визначити їх місцезнаходження, але вважають, що вона базується в Росії, оскільки банда не націлена на російські компанії або регіони колишнього радянського блоку.

Раніше влада Великобританії та США також звинувачували віртуальних приватних мереж (VPN), щоб націлюватись на організації по всьому світу та приховувати їхні цифрові сліди. Однак у посольстві Росії в США ці звинувачення спростували.

REvil Targets

У травні 2020 року REvil викрав майже один терабайт конфіденційної інформації з юридичної фірми Grubman Shire Meiselas & Sacks, стверджуючи, що має «брудну білизну» щодо президента Трампа. Банда погрожувала оприлюднити дані в Інтернеті, якщо не буде сплачено програму-викуп на суму 42 мільйони доларів. Банда заявила:

«Наступною людиною, яку ми будемо публікувати, буде Дональд Трамп. Ідуть передвиборчі перегони, і ми вчасно знайшли тонну брудної білизни. Пане Трамп, якщо ви хочете залишитися президентом, ткніться в хлопців гострою палицею, інакше ви можете назавжди забути про ці амбіції».

У березні 2021 року REvil атакувала Федерацію Харріса, в результаті чого ІТ-система організації була відключена на тижні, що вплинуло на тисячі користувачів.

У квітні 2021 року REvil націлився на Apple і вкрав плани щодо майбутніх продуктів Apple, включаючи Apple Watch, ноутбуки тощо. За інформацію банда вимагала 50 мільйонів доларів. Після нападу вони опублікували у своєму блозі Happy Blog:

«Щоб не чекати майбутньої презентації Apple, сьогодні ми, група REvil, надамо дані про майбутні випуски настільки улюбленої багатьма компанії. Тім Кук може сказати спасибі Quanta».

У травні 2021 року на бразильську м'ясопереробну компанію JBS SA було здійснено напад, внаслідок чого її бойні були виведені з ладу. Вже через кілька днів після нападу Білий дім оголосив, що за нападом може стояти REvil. JBS заплатив REvil 11 мільйонів доларів викупу в біткойнах.

Останньою метою REvil була Kaseya, американський постачальник технологій. 2 липня 2021 року REvil націлився на системи Kaseya і вимагав 70 мільйонів доларів викупу за відновлення їхніх даних. Внаслідок нападу мережа продуктових магазинів Swedish Coop змушена була закрити майже 800 магазинів на кілька днів.

Це була одна з найбільших атак програм-вимагачів в історії. Атака зачепила тисячі малих компаній по всьому світу. Після Агентства кібербезпеки та безпеки інфраструктури США всіх користувачів попросили негайно вимкнути сервери VSA.

Атака була ідеально розрахована в п’ятницю, перед довгими канікулами в США, щоб поширити її якомога швидше, не будучи поміченою.

Байден вживає заходів проти REvil

Після нападу президент Джо Байден вирішив вжити заходів і доручив спецслужбам США розслідувати групу, яка стоїть за атакою, яка вразила сотні американських компаній.

10 липня Байден зателефонував президенту Володимиру Путіну і сказав, що він повинен «вжити заходів». Байден також сказав:

«Я дуже чітко дав йому зрозуміти, що Сполучені Штати очікують, що коли операція з викупу виходить з його землі, навіть якщо вона не спонсорується державою, ми очікуємо, що вони будуть діяти, якщо ми дамо їм достатньо інформації, щоб діяти щодо того, хто це».

Коли його запитали, чи будуть наслідки, Байден посміхнувся і сказав: «Так». Він також сказав, що США вживуть заходів і виведуть сервери групи REvil, якщо Москва не зробить жодних дій.

Зникнення банди REvil

Веб-сайти, блоги та «вся їхня інфраструктура» REvil зникли, сказав Аллен Ліска, аналітик з розвідки Recorded Future. Ліска також сказала, що публічний представник REvil також називався «Невідомо», «не був активним на дошках оголошень з минулого четверга», і сайт уже деякий час не реагує.

Досі незрозуміло, чому група раптово зникла з Інтернету, чи це зникнення лише тимчасове чи постійне.

Нещодавні зміни викликали припущення щодо того, чи був цей крок власним рішенням REvil припинити діяльність, як-от колишня російська кіберзлочинна банда DarkSide, чи це було результатом дій уряду США.

Джон Халтквіст з Mandiant Threat Intelligence сказав:

«Ситуація все ще розвивається, але дані свідчать про те, що REvil зазнала запланованого, одночасного зняття своєї інфраструктури чи то самими операторами, чи то через дії промисловості чи правоохоронних органів…Якщо це була якась операція з порушенням, повні подробиці можуть ніколи не з’явитися. світити."

Це, очевидно, добре, але не для всіх цільових компаній, як зазначає Бретт Келлоу з Emsisoft :

«Якщо правоохоронним органам вдалося зірвати діяльність банди, це, очевидно, було б добре, але могло б створити проблеми для будь-яких компаній, чиї дані наразі зашифровані. Вони не мали б можливості заплатити REvil за ключ, необхідний для розшифровки їхніх даних».

Ліска також зазначив, що право власності на сайт REvil ще не змінено, що робить ймовірність захоплення домену менш імовірною. Він також сказав, що «це може означати, що це самостійні видалення (занадто рано говорити)».

Поки представники Ради національної безпеки Білого дому та кіберкомандування ще не коментували останнє зникнення REvil. Навіть якщо за зникненням REvil стояв уряд США, існують інші групи програм-вимагачів, які все ще діють, що викликає занепокоєння щодо безпеки в усьому світі.