Печально известная банда REvil снова в деле и активно работает, предвещая новую волну атак с помощью программ-вымогателей.
REvil, грозная группировка, предоставляющая Ransomware-as-a-Service (RaaS, программы-шифровальщики как услугу), которая впервые появилась на свет в конце апреля 2019 года, вернулась. Шесть месяцев вынужденного бездействия — после рейда ФСБ России — и вот группа хакеров-вымогателей, похоже, возобновила свою преступную деятельность.
Анализ новых образцов программ-шантажистов показывает, что разработчик имеет доступ к исходному коду REvil, а это означает, что инициатор хакерских угроз появился вновь. Эти подозрения еще больше усилились, когда сайт банды вымогателей был перезапущен в Даркнете.
Да мало ли в Бразилии донов Педро хакеров-вымогателей промышляет на просторах Сети? Так что же делает REvil особенным? И что означает возвращение этой банды для кибермира? Давайте разберемся!
Что делает программу-вымогатель REvil уникальной?
REvil завоевала репутацию безжалостной банды хакеров-вымогателей, преследующей крупные и очень прибыльные цели и требующей непомерных выплат от своих жертв. Это также одна из первых групп, которая приняла тактику двойного вымогательства, в которой они эксфильтрировали данные жертвы и шифровали их.
Схема двойного вымогательства позволяет REvil требовать двойную цену за одну атаку, получая при этом высокую финансовую выгоду.
Схема двойного выкупа - это двусторонняя атака, в которой данные жертвы извлекаются и шифруются одновременно. Такой прием позволяет киберпреступникам, помимо требований выкупа, еще и шантажировать жертву сливом в Сеть, украденной у нее же информации.
В начальной последовательности атак киберпреступники завладевают сетью жертвы. Они делают это, используя несколько тактик, включая фишинг, вредоносное ПО и перебор RDP-сервера.
После вторжения в сеть, преступники пытаются найти и обеспечить доступ ко всем ценным активам и подключенным конечным точкам, перемещаясь «в сторону» по сети. Дорогостоящие активы затем передаются на сервер преступника.
Заключительная фаза двойного вымогательства влечет за собой шифрование данных и требование выкупа. Обычно, если жертвы отказываются платить выкуп, злоумышленники либо продают украденные данные, либо публикуют их в публичных блогах и онлайн-форумах.
В интервью российскому OSINT разработчики группы заявили, что они заработали более 100 миллионов долларов за один год, ориентируясь на крупные предприятия. Однако лишь часть его досталась разработчикам, в то время как филиалы получили львиную долю.
Основные атаки программ-вымогателей REvil
Группа хакеров-шантажистов REvil стояла за многими крупнейшими атаками с использованием программ-вымогателей в 2020-21 годах. REvil впервые попала в центр внимания правоохранительных органов в 2020 году, когда атаковала Travelex. Эта атака, в конечном итоге, привела к гибели компании.
В следующем году REvil начал попадать в заголовки газет, организуя высокодоходные кибератаки, которые нарушили общественную инфраструктуру и цепочки поставок в крупнейших компаниях.
Группа атаковала такие компании, как Acer, Quanta Computer, JBS Foods, а также поставщика ИТ-менеджмента и программного обеспечения Kaseya. Группа, вероятно, имела некоторые связи с печально известной атакой на крупнейший трубопровод Colonial Pepeline, нарушившей поставки топлива в США и приведшей к транспортному коллапсу.
После атаки на Kaseya банда REvil на некоторое время «замолчала», Часть исследователей в области кибербезопасности считали, что это было сделано для отвлечения нежелательного внимания со стороны правоохранительных органов. Другие предположили, что группа планировала новую серию атак летом 2021 года. Однако у правоохранительных органов были припасены другие планы для операторов REvil.
День расплаты
Когда пресловутая банда вымогателей вновь появилась для новых атак, они обнаружили, что их инфраструктура скомпрометирована, и обращена против них самих. В январе 2022 года ФСБ России объявила о разгроме хакерской группировки.
Несколько членов банды были арестованы, а их активы конфискованы, в том числе миллионы долларов США, евро и рублей, а также 20 роскошных автомобилей и кучу криптовалютных кошельков. Аресты вымогателей REvil также были произведены в Восточной Европе, включая Польшу, где власти задержали подозреваемого в нападении на Касею.
Падение REvil после арестов ключевых членов группы, естественно, приветствовалось в сообществе безопасности, и многие предполагали, что угроза полностью миновала. Однако чувство облегчения было недолгим, поскольку банда вскоре возобновила свою деятельность.
Возрождение программ-вымогателей REvil
Исследователи из Secureworks проанализировали образцы вредоносного ПО, полученный ими в марте 2022 года и предположили, что банда может вернуться в строй. Специалисты обнаружили, что разработчик, вероятно, имеет доступ к оригинальному исходному коду, используемому REvil.
Домен, используемый веб-сайтом утечки REvil, также снова начал работать, но теперь он перенаправляет посетителей на новый URL-адрес, где перечислены более 250 организаций жертв REvil. Список содержит смесь старых жертв группировки и нескольких новых целей.
Oil India — индийская нефтяная компания — была самой заметной из новых жертв. Компания подтвердила утечку данных и получила требование выкупа в размере 7,5 миллионов долларов. Хотя атака вызвала предположения о том, что REvil возобновляет операции, все еще оставались вопросы о том, была ли это реально операция пресловутой банды, возродившейся из пепла как птица Феникс или у них появился подражатель.
Единственным способом подтвердить возвращение REvil было найти образец шифровальщика операции вымогателя и посмотреть, был ли он скомпилирован из исходного кода.
В конце апреля исследователь Avast Якуб Кроустек обнаружил шифровальщика-вымогателя и подтвердил, что это действительно один из вариантов кода REvil. Образец не шифровал файлы, но добавлял к файлам случайное расширение. Аналитики безопасности заявили, что это была ошибка, представленная разработчиками программ-вымогателей.
Несколько аналитиков по безопасности заявили, что новый образец программы-вымогателя связан с оригинальным исходным кодом, а это означает, что кто-то из банды, например, основной разработчик, должен был быть вовлечен в новые операции с атаками этого ПО.
Состав группы REvil
Повторное появление REvil после предполагаемых арестов в начале этого года вызвало вопросы о составе группы.
Поскольку ни один человек еще не идентифицирован, неясно, кто стоит за операцией. Это те же самые люди, которые руководили предыдущими операциями, или новая группа взяла на себя ответственность?
Состав контролирующей группы до сих пор остается загадкой. Но, учитывая аресты в начале этого года, вполне вероятно, что у группы может быть несколько операторов, которые ранее не были частью REvil.
Для кибераналитиков не редкость, когда группы вымогателей «падают» и снова появляются в других формах. Тем не менее, нельзя полностью исключить возможность того, что кто-то использует репутацию бренда, чтобы закрепиться.щита от атак программ-вымогателей REvil
Арест участников REvil и ее разгром стал «красным днем календаря» для мировой кибербезопасности. А учитывая общественную опасность банды, которая атаковала все что ни попадя - от государственных учреждений до больниц и школ - день разгрома стал «красным» вдвойне.
Но, как видно, радость защитников Интернета была преждевременной.
Опасность конкретно этой банды заключается в ее жадности беспринципности. Помимо применения схемы двойного вымогательства, в которой группа пытается не только продать украденные данные, но и запятнать имидж бренда, REvil атакует цели, руководствуясь только жаждой наживы.
В целом, хорошей стратегией противодействия таким атакам является защита пользовательской сети и сети компании проведение симуляционных тестов. Атака программ-вымогателей часто происходит из-за неисправленных уязвимостей, и имитационные атаки могут помочь вам идентифицировать их.
Еще одна ключевая стратегия смягчения последствий заключается в том, чтобы проверить всех, прежде чем они смогут получить доступ к вашей сети. Таким образом, стратегия нулевого доверия может быть полезной, поскольку она работает по основному принципу никогда никому не доверять и проверять каждого пользователя и устройство, прежде чем предоставлять им доступ к сетевым ресурсам.
