REvil

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 27. března 2022; kontroly vyžadují 4 úpravy .
REvil
Typ organizace Hackování

REvil ( Ransomware Evil , také známý jako Sodinokibi ) je organizovaná skupina (gang) kyberzločinců , kteří poskytují služby ransomwaru [1] . V případě odmítnutí zaplatit výkupné zveřejnil REvil důvěrné informace oběti na své stránce s názvem Happy Blog . Skupina sídlila v Rusku [2] a byla zlikvidována během speciální operace FSB v lednu 2022 [3] .

Pozoruhodné útoky

REvil je považován za jeden z nejaktivnějších kybernetických gangů na světě [4] [5] . Některé z útoků REvilu získaly širokou publicitu.

Jablko

Známý byl útok REvil na Apple , během kterého byly ukradeny plány budoucích produktů společnosti.

Texaská vláda

REvil byl spojován s útokem na desítky místních vlád v Texasu v roce 2019 [6] .

JBS SA

Podle FBI stojí REvil za útokem na JBS  , největšího světového dodavatele masa [7] .

Kaseya

Dne 2. července 2021 REvil napadl americkou IT společnost Kaseya, poskytovatele podnikového softwaru, načež se útok rozšířil po sítích na zákazníky Kaseya [a] . Obětí útoku se stalo asi 200 klientů Kaseya [b] [c] . Huntress Labs, společnost zabývající se IT bezpečností, označila útok za kolosální. Hackeři tvrdí, že v důsledku útoku Kaseya získali přístup k milionu počítačových systémů po celém světě a požadují od obětí 70 milionů dolarů v bitcoinech výměnou za „univerzální dešifrovač“, který podle nich dokáže znovu otevřít všechny soubory [9 ] . Federální agentura pro kybernetickou bezpečnost zahájila vyšetřování incidentu [6] .

BBC News podotýká, že k útoku na Kaseyu došlo krátce po summitu prezidentů Ruska a Spojených států, na kterém se diskutovalo mimo jiné o otázkách kybernetické bezpečnosti [6] .

Spojení s Ruskem

Pozorovatelé zaznamenali podobnost metod REvil s DarkSide  , další hackerskou zločineckou skupinou s vazbami na Rusko. Například kód ransomwaru používaný DarkSide se podobá kódu používanému REvilem, což naznačuje, že DarkSide je buď fork nebo partner REvil [10] [11] . DarkSide i REvil navíc používají podobně koncipované požadavky na výkupné a stejný kód, který kontroluje, zda se oběť nenachází v zemi SNS [12] .

Důvodem výroků amerických expertů o příslušnosti a spojení skupiny REvil s Ruskem a ruskými speciálními službami byly „charakteristické prvky v šifrovém kódu a korespondence v ruštině“ [13] . Igor Bederov, expert z inženýrského centra SafeNet Národní technologické iniciativy , se domnívá, že zločinci mohou záměrně používat cizí jazyky, aby skryli svou národnost, například skupiny drogových dealerů a obchodníků s lidmi mluvily a dopisovaly si pouze anglicky [14]. [15] .

Specialisté Positive Technologies poznamenávají, že počet hackerských útoků ve světě vzrostl v druhé polovině roku 2021 o 0,3 % [16] [17] , počet útoků na ruské společnosti se ztrojnásobil [18] [19]

Jak se ukázalo v lednu 2022, skupina skutečně sídlila v Rusku [20] .

Sbalit

13. července 2021 přestaly weby REvil na temném webu reagovat na vyhledávací dotazy. Někteří experti v USA navrhli, že náhlé zmizení REvilu z darknetu může být způsobeno telefonickým rozhovorem mezi prezidenty USA a Ruska den předtím [21] .

Přední zahraniční publikace - New York Times , CNN , BBC , Threatpost, nezávislý zdroj zpráv a analytických materiálů o kybernetické bezpečnosti a další - spojovaly tuto akci s možným zablokováním skupiny americkými zpravodajskými službami, omezením činnosti na příkaz Ruské zpravodajské služby nebo hackeři prostě „šli do stínu“, pro které opustili síťový prostor, aby se ochránili před případným zatčením, podle odborníků, včetně ředitele technologie BreachQuest Jakea Williamse (rozeného Jakea Williamse) [22 ] .

14. ledna 2022, během speciální operace FSB a ruského ministerstva vnitra , provedené na žádost amerických úřadů, byla činnost skupiny zastavena. K zadržení došlo na území Moskevské , Petrohradské , Moskevské , Leningradské a Lipecké oblasti [20] . Hackeři se zmocnili 426 milionů rublů, 500 tisíc eur, 600 tisíc dolarů, 20 prémiových vozů [3] [23] [5] .

Důsledky

Experti Trustwave poznamenali, že nepokoje mezi hackery, které začaly v roce 2021, po zatčení REvila zesílily. Účastníci fóra si začali vyměňovat četné tipy, jak se chránit, pokud ruské orgány činné v trestním řízení budou i nadále aktivně bojovat proti počítačové kriminalitě. Mnozí kritizovali činy REvilu za okázalé vychloubání se svými úspěchy a útoky na multimiliardové korporace v zemích, které by mohly přinutit ruskou vládu k akci [24] .

Podle společnosti ReversingLabs pro informační bezpečnost se po zatčení údajných členů skupiny počet nových infekcí za den zvýšil z 24 (169 za týden) na 26 (180 za týden). Toto číslo je mnohem vyšší ve srovnání se zářím (43 infekcí za den – 307 za týden) a říjnem (22 infekcí za den – 150 za týden), 2021, kdy REvil náhle přešel do režimu offline, ale výrazně nižší ve srovnání s červencem (87 infekcí za den - 608 za týden) [25] .

Návrat

19. dubna si specialisté na kybernetickou bezpečnost pancak3 a Soufiane Tahiri jako první všimli aktivity stránek REvil. Faktem je, že nová „stránka pro úniky“ REvil začala být inzerována prostřednictvím ruskojazyčného fóra-tržiště RuTOR (nezaměňovat se stejnojmenným torrent trackerem). Nový web je hostován na jiné doméně, ale je propojen s původním webem REvil, který se používal, když byla skupina stále aktivní. Na 26 stránkách webu jsou také uvedeny společnosti, které utrpěly ransomwarem, z nichž většina jsou staré oběti REvilu. Zdá se, že pouze poslední dva útoky souvisejí s novou kampaní a jednou z obětí je ropná a plynárenská společnost Oil India. [26]

Poznámky

Komentáře

  1. Klientská základna Kaseya zahrnuje desítky tisíc společností v různých zemích [6] .
  2. Útok byl proveden v předvečer prodlouženého víkendu spojeného se svátkem Dne nezávislosti ve Spojených státech, což zvýšilo škodlivý účinek.
  3. ↑ Včetně 500 supermarketů COOP ve Švédsku [8] bylo kvůli útoku dočasně uzavřeno .

Zdroje

  1. McAfee ATR analyzuje Sodinokibi aka REvil Ransomware-as-a-Service – All-   Stars ? . Blogy McAfee (2. října 2019). Získáno 7. října 2020. Archivováno z originálu dne 26. září 2020.
  2. Ve městech Moskva, Petrohrad, Moskva, Leningrad a Lipetsk byly zastaveny nelegální aktivity členů organizované zločinecké komunity ... FSB chytila ​​hackery REvil. Od Trumpa vymohli 42 milionů dolarů za „špinavé prádlo“ Archivováno 15. ledna 2022 na Wayback Machine
  3. 1 2 Podrobné informace :: Federální bezpečnostní služba . www.fsb.ru _ Získáno 14. ledna 2022. Archivováno z originálu dne 14. ledna 2022.
  4. Stovky amerických společností se staly obětí kybernetického útoku. Propojeno s ruskými hackery Archivováno 3. července 2021 na Wayback Machine , BBC, 03/07/2021
  5. 1 2 FSB zadržela skupinu hackerů REvil po odvolání v USA . TASS (14. ledna 2022). Získáno 14. ledna 2022. Archivováno z originálu dne 14. ledna 2022.
  6. 1 2 3 4 americké společnosti zasažené „kolosálním“ kybernetickým útokem Archivováno 3. července 2021 na Wayback Machine , BBC, 3/07/2021
  7. JBS: Kybernetický útok zasáhl největšího dodavatele masa na světě Archivováno 7. června 2021 na Wayback Machine , BBC, 06/2/2021
  8. Švédské supermarkety Coop zavřeny kvůli americkému ransomwarovému kybernetickému útoku Archivováno 4. července 2021 na Wayback Machine , BBC, 4/07/2021
  9. Hackeři požadují 70 milionů dolarů v bitcoinech od obětí kybernetického útoku Kaseya Archivováno 5. července 2021 na Wayback Machine , BBC, 07.05.2021
  10. ↑ David E. Sanger & Nicole Perlroth, FBI identifikuje skupinu za hackováním potrubí  . www.nytimes.com . Získáno 27. září 2021. Archivováno z originálu dne 6. června 2021. , New York Times (10. května 2021).
  11. Charlie Osborne, výzkumníci vystopovali pět poboček ransomwarové služby  DarkSide . www.zdnet.com . Získáno 27. září 2021. Archivováno z originálu dne 7. června 2021. , ZDNet (12. května 2021).
  12. Co víme o ransomwaru DarkSide a americkém  útoku na potrubí . www.trendmicro.com . Získáno 27. září 2021. Archivováno z originálu dne 8. října 2021. , Výzkum Trend Micro (14. května 2021)
  13. Ransomware gang, který zasáhl dodavatele masa, záhadně zmizel z  internetu . edition.cnn.com . Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  14. Ve stínu: proč hackerská skupina REvil omezila své aktivity . forbes.ru _ Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  15. Skupina REvil hackerů se vrací na darknet poté, co byla několik týdnů pryč . 3dnews.ru . Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  16. Počet kybernetických útoků ve světě ve druhém čtvrtletí roku 2021 vzrostl o 0,3 % . iz.ru. _ Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  17. Ruské společnosti napadeny největší infikovanou sítí v historii internetu . lenta.ru _ Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  18. Počet kybernetických útoků na ruské organizace se ztrojnásobil . cisoclub.ru _ Staženo: 27. září 2021.
  19. Španělský bot nastoupil . www.kommersant.ru _ Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  20. 1 2 FSB chytil hackery REvil. Od Trumpa vymohli 42 milionů dolarů za špinavé prádlo . Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  21. Hackerská skupina REvil, která je v USA spojována s Kremlem, zmizela z darknetu . Získáno 14. července 2021. Archivováno z originálu dne 14. července 2021.
  22. Ransomware Giant REvil's Sites mizí  . hrozba post.com . Získáno 27. září 2021. Archivováno z originálu dne 27. září 2021.
  23. Stovky milionů rublů a desítky aut zabavených hackerskému gangu REvil . Lenta.Ru (14. ledna 2022). Získáno 14. ledna 2022. Archivováno z originálu dne 14. ledna 2022.
  24. Zatčení členů hackerské skupiny REvil vzrušilo další zločince Archivováno 31. ledna 2022 na Wayback Machine // Xakep.ru
  25. Zatčení členů skupiny REvil nijak neovlivnilo její činnost Archivovaná kopie ze dne 28. ledna 2022 na Wayback Machine // SecurityLab.ru
  26. Stránky Tor skupiny REvil najednou začaly znovu fungovat  (ruština)  ? . Získáno 1. května 2022. Archivováno z originálu dne 29. dubna 2022.