REvil, strašna operacija Ransomware-as-a-Service (RaaS) koja je prvi put izašla na vidjelo krajem travnja 2019. godine, vratila se. Nakon šest mjeseci neaktivnosti – nakon napada ruskih vlasti – čini se da je skupina za ransomware nastavila s radom.
Analiza novih uzoraka ransomwarea otkriva da programer ima pristup REvilovom izvornom kodu, što znači da se skupina prijetnji ponovno pojavila. Te su sumnje dodatno pojačane kada se stranica ekipe ransomwarea ponovno pokrenula na dark webu.
Već smo vidjeli mnogo grupa za ransomware, ali po čemu je REvil poseban? Što povratak grupe znači za cyber svijet? Hajde da vidimo!
Što REvil Ransomware čini jedinstvenim?
REvil je izgradio reputaciju da juri visokoprofilne i vrlo unosne mete i zahtijeva pretjerana plaćanja od svojih žrtava. To je također jedna od prvih skupina koja je usvojila taktiku dvostruke iznude u kojoj su eksfiltrirali podatke žrtve i šifrirali ih.
The dvostruka iznuda ransomware shema omogućuje REvilu da traži dvije otkupnine za velike financijske dobitke. U intervjuu s
ruski OSINT, programeri grupe tvrdili su da su zaradili više od 100 milijuna dolara u jednoj godini ciljajući velika poduzeća. Međutim, samo je djelić toga otišao programerima, dok su pridružene tvrtke dobile lavovski udio.Veliki REvil Ransomware napadi
Grupa ransomware REvil stoji iza nekih od njih najveći napadi ransomwarea u 2020-21. Grupa je prvi put došla u središte pozornosti 2020. godine kada je napala Travelex, što je u konačnici dovelo do propasti tvrtke. Sljedeće godine REvil je počeo izlaziti na naslovnice izvodeći vrlo unosne cyber napade koji su poremetili javnu infrastrukturu i lance opskrbe.
Grupa je napala tvrtke kao što su Acer, Quanta Computer, JBS Foods i dobavljača IT upravljanja i softvera Kaseya. Grupa je vjerojatno imala neke veze s zloglasni napad kolonijalnim plinovodom, što je poremetilo lanac opskrbe gorivom u SAD-u.
Nakon napada ransomwarea Kaseya REvil, grupa je neko vrijeme šutjela kako bi ublažila neželjenu pozornost koju je sebi privukla. Bilo je mnogo nagađanja da grupa planira novu seriju napada u ljeto 2021., ali policija je imala druge planove za REvilove operatere.
Dan obračuna za REvil Cyber Gang
Kako se zloglasna banda ransomwarea ponovno pojavila zbog novih napada, otkrili su da im je infrastruktura ugrožena i okrenuli se protiv njih. U siječnju 2022. ruska služba državne sigurnosti FSB objavila je da je prekinula aktivnosti skupine na zahtjev Sjedinjenih Država.
Nekoliko članova bande je uhićeno, a zaplijenjena im je imovina, uključujući milijune američkih dolara, eura i rubalja, kao i 20 luksuznih automobila i novčanike s kriptovalutama. REvil ransomware uhićenja su također izvršena u istočnoj Europi, uključujući Poljsku, gdje su vlasti držale osumnjičenika za napad Kaseya.
Pad REvil-a nakon uhićenja ključnih članova grupe prirodno je pozdravljen u sigurnosnoj zajednici, a mnogi su pretpostavili da je prijetnja u potpunosti prošla. Međutim, osjećaj olakšanja bio je kratkog vijeka jer je banda ponovno započela s radom.
Ponovna pojava REvil Ransomwarea
Istraživači iz Secureworks analizirao uzorak zlonamjernog softvera iz ožujka i nagovijestio da bi se banda mogla vratiti u akciju. Istraživači su otkrili da programer vjerojatno ima pristup izvornom izvornom kodu koji koristi REvil.
Domena koju koristi web stranica za curenje REvil također je ponovno počela s radom, ali sada preusmjerava posjetitelje na novi URL na kojem je navedeno više od 250 organizacija žrtava REvil. Popis sadrži mješavinu REvilovih starih žrtava i nekoliko novih meta.
Oil India — indijska naftna tvrtka — bila je najistaknutija među novim žrtvama. Tvrtka je potvrdila kršenje podataka i dobila je zahtjev za otkupninom od 7,5 milijuna dolara. Iako je napad izazvao nagađanja da REvil nastavlja s radom, još uvijek je bilo pitanja je li ovo bila operacija kopiranja.
Jedini način da se potvrdi povratak REvila bio je pronaći uzorak enkriptora operacije ransomwarea i vidjeti je li preveden iz izvornog izvornog koda.
Krajem travnja, istraživač Avasta Jakub Kroustek otkrio je ransomware encryptor i potvrdio da je to doista REvil varijanta. Uzorak nije šifrirao datoteke već je datotekama dodao nasumično proširenje. Sigurnosni analitičari rekli su da je riječ o grešci koju su uveli programeri ransomwarea.
Više sigurnosnih analitičara izjavilo je da je novi uzorak ransomwarea povezan s izvornim izvornim kodom, što znači da je netko iz bande - na primjer, glavni programer - morao biti uključen.
Sastav REvil's Group
Ponovno pojavljivanje REvila nakon navodnih uhićenja ranije ove godine pokrenulo je pitanja o sastavu skupine i njezinim vezama s ruskom vladom. Banda je pala u mrak zbog uspješne američke diplomacije prije početka rusko-ukrajinskog sukoba.
Za mnoge, iznenadni oživljavanje grupe sugerira da bi je Rusija možda htjela upotrijebiti kao multiplikator sile u tekućim geopolitičkim napetostima.
Budući da još nitko nije identificiran, nije jasno tko stoji iza operacije. Jesu li to isti pojedinci koji su vodili prethodne operacije ili je to preuzela nova grupa?
Sastav kontrolne skupine još uvijek je misterij. No, s obzirom na uhićenja ranije ove godine, vjerojatno je da bi grupa mogla imati nekoliko operatera koji ranije nisu bili dio REvil-a.
Za neke analitičare nije neuobičajeno da grupe ransomwarea nestanu i ponovno se pojavljuju u drugim oblicima. Međutim, ne može se u potpunosti eliminirati mogućnost da netko iskoristi reputaciju marke kako bi se učvrstio.
Zaštita od napada REvil Ransomware-a
Uhićenje REvilovog kralja bilo je veliki dan za kibernetičku sigurnost, posebno kada su grupe ransomwarea ciljale sve, od javnih institucija do bolnica i škola. No, kao što se vidi s bilo kojim poremećajem u online kriminalnim aktivnostima, to nije značilo kraj pandemije ransomwarea.
Opasnost u slučaju REvil-a je shema dvostruke iznude u kojoj bi grupa pokušala prodati vaše podatke i narušiti imidž marke i odnose s kupcima.
Općenito, dobra strategija za suzbijanje takvih napada je osigurati svoju mrežu i provesti simulacijske testove. Do napada na ransomware često dolazi zbog nezakrpljenih ranjivosti, a simulacijski napadi mogu vam pomoći da ih identificirate.
Druga ključna strategija ublažavanja je provjera svih prije nego što mogu pristupiti vašoj mreži. Kao takva, strategija nultog povjerenja može biti korisna jer funkcionira na osnovnom principu da se nikada nikome ne vjeruje i da se provjerava svaki korisnik i uređaj prije nego im se odobri pristup mrežnim resursima.
