Сумнозвісна російська банда програм-вимагачів “REvil” знову з’являється, що викликає занепокоєння безпекою
Темні веб-портали, які колись керувалися бандою програм-вимагачів REvil, сьогодні повернулися в Інтернет, що викликало занепокоєння, що знаменита банда програм-вимагачів незабаром відновить свої атаки.
Під час святкових днів у США 4 липня група вивела з ладу свою веб-інфраструктуру після масової атаки програмного забезпечення-вимагача на сервери Kaseya. Це були ті самі інциденти, які привернули увагу чиновників Білого дому.
Однак як США, так і російська влада заперечують будь-яку причетність до таємничого зникнення цієї російськомовної банди-вимагання.
На той час виглядало так, ніби групу розформували і планували здійснити нову атаку з використанням програм-вимагачів на різних слідчих правоохоронних органів США та охоронних фірм.
Незабаром після зростання кількості атак програм-вимагачів у США Джо Байден (президент США) виступив з ініціативою та організував зустріч з кібербезпеки з керівниками різних технологічних гігантів. Метою цієї зустрічі було обговорити, як компанії забезпечують кібербезпеку після недавніх хвиль атак програм-вимагачів і порушень безпеки.
Відповідно до твітів у соціальних мережах різних дослідників безпеки, кілька веб-сайтів, включаючи Happy Blog, безпосередньо пов'язані з REvil, знову з’явилися.
Згідно з твітом головного редактора Bleeping Computer, найновіший запис був від жертви нападу 8 липня.
За словами експерта з програм-вимагачів Аллана Ліски, повернення REvil було неминучим, але цього разу з іншою назвою та новим варіантом програм-вимагачів.
На деякий час для них, безперечно, стало гаряче, тому їм потрібно було дати правоохоронним органам охолонути. Проблема (для них) полягає в тому, що якщо це дійсно та сама група, використовуючи ту саму інфраструктуру, вони насправді не купують себе віддаленості від правоохоронних органів чи дослідників, що поверне їх у приціль буквально кожного закону. правоохоронна група у світі (крім російської). Я також додам, що я перевірив усі звичайні репозиторії коду, такі як VirusTotal і Malware Bazaar, і поки що не бачив нових зразків. Отже, якщо вони почали якісь нові атаки програм-вимагачів, то їх було небагато.
Як зазначив аналітик Emisoft, Бретт Келлоу заявив, що цього року REvil атакував щонайменше 360 американських організацій.
Кілька жертв REvil опинилися в скрутному становищі, навіть після того, як групу закрили в липні. Наприклад, Майк Гамільтон, колишній CISO Сіетла, а тепер CISO фірми Critical Insight, що займається виправленням програм-вимагачів, сказав, що одна компанія заплатила викуп після атаки Kaseya і отримала ключі дешифрування від REvil, але виявила, що вони не працюють.
Деякі з наших клієнтів дуже легко вийшли. Якщо у вас був встановлений агент на неважливих комп’ютерах, ви просто перебудували їх і повернулися до життя. Але кілька днів тому ми отримали дзвінок про лиху від компанії, яка сильно постраждала, оскільки у неї була компанія, яка керувала багатьма їхніми серверами за допомогою Kaseya VSA. Вони отримали багато своїх серверів і мали багато інформації про них, тому вони залучили свою страхову компанію і вирішили заплатити викуп».
Згідно зі звітом, опублікованим компанією безпеки BlackFog, з усіх атак програм-вимагачів у серпні на REvil припадало понад 23% атак, які вони відстежували минулого місяця. Це було більше, ніж будь-яка інша група, про яку йдеться у звіті.