Interested Article - REvil

seraphina
  • 2021-07-14
  • 1

REvil ( Ransomware Evil , также известна как Sodinokibi ) — организованная группа (банда) киберпреступников , предоставляющая услуги программ-вымогателей (ransomware) . В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog . Группа базировалась на территории России и была ликвидирована в ходе спецоперации ФСБ в январе 2022 года .

Известные атаки

REvil считается одной из самых активных кибербанд в мире . Некоторые атаки REvil получили широкую известность.

Apple

Получила известность атака REvil на Apple , в ходе которой были похищены схемы будущих продуктов компании.

Правительство Техаса

REvil связывают с нападением, совершенным в 2019 году на десятки органов местного самоуправления в Техасе .

JBS S.A.

По мнению ФБР , именно REvil стоит за — крупнейшего поставщика мяса в мире .

Kaseya

2 июля 2021 года REvil атаковала американскую IT-компанию Kaseya — поставщика корпоративного ПО, после чего атака распространилась по сетям на клиентов Kaseya . Жертвами атаки стали около 200 клиентов Kaseya . Компания по IT-безопасности Huntress Labs назвала эту атаку колоссальной. Хакеры утверждают, что в результате атаки на Kaseya им удалось получить доступ к миллиону компьютерных систем во всем мире и требуют от жертв 70 млн долларов в биткойнах в обмен на «универсальный дешифратор», который сможет, по их словам, вновь открыть все файлы . начало расследование инцидента .

BBC News отмечает, что нападение на Kaseya произошло вскоре после встречи на высшем уровне между президентами России и США , на которой обсуждались, в том числе, и вопросы кибербезопасности .

Связь с Россией

Наблюдатели отмечали схожесть методов REvil с DarkSide — другой хакерской преступной группой, связываемой с Россией. Так, код программы-вымогателя, используемый DarkSide, напоминает код, используемый REvil, что говорит о том, что DarkSide является либо ответвлением либо партнером REvil . Кроме того, и DarkSide, и REvil используют аналогично составленные требования выкупа и один и тот же код, проверяющий, что жертва не находится в стране СНГ .

Поводом для заявлений американских экспертов о принадлежности и связи группы REvil с Россией и российскими спецслужбами послужили «характерные элементы в коде шифровальщика и переписка на русском языке» . Эксперт инжинирингового центра SafeNet Национальной технологической инициативы Игорь Бедеров полагает, что преступники могут сознательно использовать иностранные языки для того, чтобы скрыть национальную принадлежность, например, группы наркоторговцев и торговцев людьми разговаривали и вели переписку только на английском языке .

Специалисты компании Positive Technologies отмечают, что количество хакерских атак в мире выросло на 0,3 % во втором полугодии 2021 года , число атак на российские компании увеличилось в три раза

Как выяснилось в январе 2022 года, группа действительно базировалась на территории России .

Крах

13 июля 2021 года сайты REvil в даркнете перестали отвечать на поисковые запросы. Некоторые эксперты в США предположили, что неожиданное исчезновение REvil из даркнета может быть связано с телефонным разговором между президентами США и России накануне .

Ведущие зарубежные издания — New York Times , CNN , BBC , независимый источник новостей и аналитических материалов о кибербезопасности Threatpost и другие — связали это действие с возможной блокировкой группы американскими спецслужбами, сворачиванием деятельности по приказу российских спецслужб или хакеры просто «ушли в тень», для чего покинули сетевое пространство, чтобы обезопасить себя от возможного ареста, как считают специалисты, в том числе директор по технологиям компании BreachQuest Джейк Уильямс (англ. Jake Williams) .

14 января 2022 года в ходе спецоперации ФСБ и МВД России , проведённой по запросу властей США, деятельность группировки была пресечена. Задержание проходило на территории Москвы , Санкт-Петербурга , Московской , Ленинградской и Липецкой областях . У хакеров изъяли 426 миллионов рублей, 500 тысяч евро, 600 тысяч долларов, 20 автомобилей премиум-класса .

Последствия

Эксперты отметили что волнения среди хакеров, начавшиеся ещё в 2021 году усилились после ареста REvil. Участники форумов начали обмениваться многочисленными советами о том, как обезопасить себя, если российские правоохранительные органы продолжат активную борьбу с киберпреступностью. Многие раскритиковали действия REvil за показное хвастовство своими достижениями и нападения на многомиллиардные корпорации, расположенные в странах, которые могли вынудить российское правительство принять меры .

По данным ИБ-компании ReversingLabs после арестов предполагаемых участников группировки число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю). Этот показатель намного выше по сравнению с сентябрем (43 заражений в сутки — 307 в неделю) и октябрем (22 заражений в сутки — 150 в неделю), 2021 года когда REvil внезапно ушла в offline, но существенно ниже по сравнению с июлем (87 заражений в сутки — 608 в неделю) .

Возвращение

19 апреля ИБ-специалисты pancak3 и Soufiane Tahiri первыми заметили активность сайтов REvil. Дело в том, что новый «сайт для утечек» REvil начал рекламироваться через русскоязычный форум-маркетплейс RuTOR (не путать с одноименым торрент-трекером). Новый сайт размещен на другом домене, но связан с исходным сайтом REvil, который использовался, когда группа еще была в строю. Также на 26 страницах сайта перечислены компании, пострадавшие от рук вымогателей, большинство из которых — старые жертвы REvil. Лишь две последние атаки, похоже, связаны с новой компанией, а один из пострадавших — нефтегазовая компания Oil India.

Примечания

Комментарии

  1. Клиентская база Kaseya насчитывает десятки тысяч компаний в разных странах .
  2. Атака была произведена накануне длинных выходных, связанных с праздником Дня Независимости в США, что увеличило вредоносный эффект.
  3. В том числе, из-за атаки были временно закрыты 500 супермаркетов в Швеции .

Источники

  1. (амер. англ.) . McAfee Blogs (2 октября 2019). Дата обращения: 7 октября 2020. 26 сентября 2020 года.
  2. В городах Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях пресечена противоправная деятельность членов организованного преступного сообщества… от 15 января 2022 на Wayback Machine
  3. . www.fsb.ru . Дата обращения: 14 января 2022. 14 января 2022 года.
  4. от 3 июля 2021 на Wayback Machine , BBC, 3.07.2021
  5. . ТАСС (14 января 2022). Дата обращения: 14 января 2022. 14 января 2022 года.
  6. от 3 июля 2021 на Wayback Machine , BBC, 3.07.2021
  7. от 7 июня 2021 на Wayback Machine , BBC, 2.06.2021
  8. от 4 июля 2021 на Wayback Machine , BBC, 4.07.2021
  9. от 5 июля 2021 на Wayback Machine , BBC, 5.07.2021
  10. David E. Sanger & Nicole Perlroth, (англ.) . www.nytimes.com . Дата обращения: 27 сентября 2021. 6 июня 2021 года. , New York Times (May 10, 2021).
  11. Charlie Osborne, (англ.) . www.zdnet.com . Дата обращения: 27 сентября 2021. 7 июня 2021 года. , ZDNet (May 12, 2021).
  12. (англ.) . www.trendmicro.com . Дата обращения: 27 сентября 2021. 8 октября 2021 года. , Trend Micro Research (May 14, 2021)
  13. (англ.) . edition.cnn.com . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  14. . forbes.ru . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  15. . 3dnews.ru . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  16. . iz.ru . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  17. . lenta.ru . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  18. . cisoclub.ru . Дата обращения: 27 сентября 2021.
  19. . www.kommersant.ru . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  20. . Дата обращения: 15 января 2022. 15 января 2022 года.
  21. . Дата обращения: 14 июля 2021. 14 июля 2021 года.
  22. (англ.) . threatpost.com . Дата обращения: 27 сентября 2021. 27 сентября 2021 года.
  23. . Лента.Ру (14 января 2022). Дата обращения: 14 января 2022. 14 января 2022 года.
  24. от 31 января 2022 на Wayback Machine // Xakep.ru
  25. от 28 января 2022 на Wayback Machine // SecurityLab.ru
  26. (рус.) . Дата обращения: 1 мая 2022. 29 апреля 2022 года.
Источник —

seraphina
  • 2021-07-14
  • 1
  • Tags:

Same as REvil

The title for the last searches