REvil, impozantná operácia Ransomware-as-a-Service (RaaS), ktorá sa prvýkrát objavila na konci apríla 2019, sa vrátila. Zdá sa, že po šiestich mesiacoch nečinnosti – po razii ruských úradov – skupina ransomvéru obnovila činnosť.
Analýza nových vzoriek ransomvéru odhaľuje, že vývojár má prístup k zdrojovému kódu REvil, čo znamená, že skupina hrozieb sa znovu objavila. Tieto podozrenia sa ešte viac posilnili, keď sa stránka ransomvéru znovu spustila na temnom webe.
Už sme videli veľa skupín ransomvéru, ale čím je REvil výnimočný? Čo znamená návrat skupiny pre kybernetický svet? Poďme zistiť!
Čo robí REvil Ransomware jedinečným?
REvil si vybudoval reputáciu tým, že sa pustil do vysokoprofilových a vysoko lukratívnych cieľov a požadoval od svojich obetí prehnané platby. Je to tiež jedna z prvých skupín, ktoré si osvojili taktiku dvojitého vydierania, pri ktorej exfiltrovali údaje obete a zašifrovali ich.
The dvojité vydieranie ransomware schéma umožňuje spoločnosti REvil požadovať dve výkupné za vysoké finančné zisky. V rozhovore s
ruský OSINT, vývojári skupiny tvrdili, že zarobili viac ako 100 miliónov dolárov za jeden rok zacielením na veľké podniky. Len zlomok z toho však putoval k vývojárom, pričom leví podiel získali pridružené spoločnosti.Hlavné útoky REvil Ransomware
Skupina REvil ransomware stojí za niektorými z nich najväčšie ransomvérové útoky v rokoch 2020-21. Skupina sa prvýkrát dostala do centra pozornosti v roku 2020, keď zaútočila na Travelex, čo nakoniec viedlo k zániku spoločnosti. Nasledujúci rok sa REvil začal objavovať na titulných stránkach zinscenovaním veľmi lukratívnych kybernetických útokov, ktoré narušili verejnú infraštruktúru a dodávateľské reťazce.
Skupina zaútočila na spoločnosti ako Acer, Quanta Computer, JBS Foods a poskytovateľa IT manažmentu a softvéru Kaseya. Skupina mala pravdepodobne nejaké prepojenia na notoricky známy útok Colonial Pipeline, ktorá narušila reťazec dodávok paliva v USA.
Po útoku ransomvéru Kaseya REvil sa skupina na nejaký čas odmlčala, aby zmiernila nechcenú pozornosť, ktorú na seba vyvolala. Veľa sa špekulovalo, že skupina plánovala novú sériu útokov v lete 2021, ale orgány činné v trestnom konaní mali s operátormi REvilu iné plány.
Deň zúčtovania pre REvil Cyber Gang
Keď sa notoricky známy ransomvérový gang znovu objavil pre nové útoky, zistili, že ich infraštruktúra je ohrozená a obrátili sa proti nim. V januári 2022 ruská štátna bezpečnostná služba FSB oznámila, že na žiadosť Spojených štátov narušila činnosť skupiny.
Niekoľko členov gangu bolo zatknutých a zhabaný ich majetok vrátane miliónov amerických dolárov, eur a rubľov, ako aj 20 luxusných áut a peňaženiek na kryptomeny. Ransomvér REvil bol zatknutý aj vo východnej Európe vrátane Poľska, kde úrady zadržali podozrivého z útoku na Kaseyu.
Pád REvilu po zatknutí kľúčových členov skupiny bol v bezpečnostnej komunite prirodzene vítaný a mnohí predpokladali, že hrozba úplne pominula. Pocit úľavy však trval len krátko, keďže gang teraz znovu spustil svoju činnosť.
Znovuzrodenie ransomvéru REvil
Výskumníci z Secureworks analyzovali vzorku malvéru z marca a naznačili, že gang by mohol byť späť v akcii. Výskumníci zistili, že vývojár má pravdepodobne prístup k pôvodnému zdrojovému kódu, ktorý používa REvil.
Doména, ktorú používa webová stránka úniku REvil, tiež začala znova fungovať, ale teraz presmeruje návštevníkov na novú adresu URL, kde je uvedených viac ako 250 organizácií obetí zla. Zoznam obsahuje mix starých obetí REvilu a niekoľko nových cieľov.
Oil India – indická ropná obchodná spoločnosť – bola najvýznamnejšou z nových obetí. Spoločnosť potvrdila porušenie údajov a bola doručená žiadosť o výkupné vo výške 7,5 milióna dolárov. Zatiaľ čo útok vyvolal špekulácie, že REvil obnovuje operácie, stále existovali otázky, či ide o kopírovaciu operáciu.
Jediným spôsobom, ako potvrdiť návrat REvilu, bolo nájsť vzorku šifrovacieho zariadenia operácie ransomvéru a zistiť, či bol skompilovaný z pôvodného zdrojového kódu.
Koncom apríla výskumník Avast Jakub Kroustek objavil šifrovač ransomvéru a potvrdil, že ide skutočne o variant REvil. Vzorka nešifrovala súbory, ale pridala náhodnú príponu k súborom. Bezpečnostní analytici uviedli, že ide o chybu, ktorú zaviedli vývojári ransomvéru.
Viacerí bezpečnostní analytici uviedli, že nová vzorka ransomvéru sa spája s pôvodným zdrojovým kódom, čo znamená, že do toho musel byť zapojený niekto z gangu – napríklad hlavný vývojár.
Zloženie skupiny REvil's Group
Opätovné objavenie sa skupiny REvil po údajnom zatknutí začiatkom tohto roka vyvolalo otázky o zložení skupiny a jej väzbách na ruskú vládu. Gang kvôli úspešnej diplomacii USA pred začiatkom rusko-ukrajinského konfliktu stmavol.
Náhle oživenie skupiny pre mnohých naznačuje, že Rusko ju môže chcieť použiť ako multiplikátor sily v pretrvávajúcom geopolitickom napätí.
Keďže zatiaľ nebola identifikovaná žiadna osoba, nie je jasné, kto za operáciou stojí. Sú to tí istí jednotlivci, ktorí viedli predchádzajúce operácie, alebo ich prevzala nová skupina?
Zloženie kontrolnej skupiny je zatiaľ záhadou. Ale vzhľadom na zatknutia začiatkom tohto roka je pravdepodobné, že skupina môže mať niekoľko operátorov, ktorí predtým neboli súčasťou REvilu.
Pre niektorých analytikov nie je nezvyčajné, že skupiny ransomvéru zaniknú a znova sa objavia v iných formách. Nedá sa však úplne vylúčiť možnosť, že niekto využije reputáciu značky, aby sa uchytil.
Ochrana pred útokmi REvil Ransomware
Zatknutie kráľa spoločnosti REvil bolo veľkým dňom pre kybernetickú bezpečnosť, najmä keď sa skupiny ransomvéru zameriavali na všetko od verejných inštitúcií po nemocnice a školy. Ale ako je vidieť pri akomkoľvek prerušení online kriminálnej činnosti, neznamenalo to koniec pandémie ransomvéru.
Nebezpečenstvo v prípade REvil predstavuje schéma dvojitého vydierania, v rámci ktorého by sa skupina pokúsila predať vaše dáta a pošpiniť imidž značky a vzťahy so zákazníkmi.
Vo všeobecnosti je dobrou stratégiou proti takýmto útokom zabezpečenie siete a vykonanie simulačných testov. K ransomvérovému útoku často dochádza v dôsledku neopravených zraniteľností a simulačné útoky vám ich môžu pomôcť identifikovať.
Ďalšou kľúčovou stratégiou na zmiernenie rizika je overenie všetkých predtým, ako získajú prístup k vašej sieti. Stratégia nulovej dôvery ako taká môže byť prospešná, pretože funguje na základnom princípe nikdy nikomu nedôverovať a overiť každého používateľa a zariadenie predtým, ako im udelíte prístup k sieťovým zdrojom.
