Το REvil, μια τρομερή λειτουργία Ransomware-as-a-Service (RaaS) που πρωτοεμφανίστηκε στα τέλη Απριλίου 2019, επέστρεψε. Μετά από έξι μήνες αδράνειας —μετά την επιδρομή των ρωσικών αρχών— η ομάδα ransomware φαίνεται να έχει ξαναρχίσει τη λειτουργία της.
Η ανάλυση νέων δειγμάτων ransomware αποκαλύπτει ότι ο προγραμματιστής έχει πρόσβαση στον πηγαίο κώδικα του REvil, πράγμα που σημαίνει ότι η ομάδα απειλών έχει επανεμφανιστεί. Αυτές οι υποψίες ενισχύθηκαν περαιτέρω όταν ο ιστότοπος του πληρώματος ransomware επανεκκινήθηκε στον σκοτεινό ιστό.
Έχουμε δει πολλές ομάδες ransomware στο παρελθόν, αλλά τι κάνει το REvil ξεχωριστό; Τι σημαίνει η επιστροφή της ομάδας για τον κόσμο του κυβερνοχώρου; Ας ανακαλύψουμε!
Τι κάνει το REvil Ransomware μοναδικό;
Η REvil έχτισε τη φήμη ότι κυνηγούσε στόχους υψηλού προφίλ και εξαιρετικά προσοδοφόρους και απαιτούσε υπέρογκες πληρωμές από τα θύματά της. Είναι επίσης μια από τις πρώτες ομάδες που υιοθέτησαν την τακτική του διπλού εκβιασμού, με την οποία διέφυγαν τα δεδομένα του θύματος και τα κρυπτογραφούσαν.
ο ransomware διπλού εκβιασμού Το πρόγραμμα επιτρέπει στον REvil να ζητήσει δύο λύτρα για υψηλά οικονομικά κέρδη. Σε μια συνέντευξη με Ρωσική OSINT, οι προγραμματιστές του ομίλου ισχυρίστηκαν ότι κέρδισαν περισσότερα από 100 εκατομμύρια δολάρια σε ένα χρόνο στοχεύοντας μεγάλες επιχειρήσεις. Ωστόσο, μόνο ένα κλάσμα πήγε στους προγραμματιστές, ενώ οι θυγατρικές πήραν τη μερίδα του λέοντος.
Σημαντικές επιθέσεις Ransomware REvil
Η ομάδα ransomware REvil βρίσκεται πίσω από μερικά από αυτά οι μεγαλύτερες επιθέσεις ransomware του 2020-21. Ο όμιλος ήρθε για πρώτη φορά στο προσκήνιο το 2020 όταν επιτέθηκε στην Travelex, οδηγώντας τελικά στην κατάρρευση της εταιρείας. Το επόμενο έτος, το REvil άρχισε να γίνεται πρωτοσέλιδο οργανώνοντας εξαιρετικά κερδοφόρες επιθέσεις στον κυβερνοχώρο που διέκοψαν τις δημόσιες υποδομές και τις αλυσίδες εφοδιασμού.
Η ομάδα επιτέθηκε σε εταιρείες όπως η Acer, η Quanta Computer, η JBS Foods και η εταιρεία διαχείρισης πληροφορικής και λογισμικού Kaseya. Η ομάδα πιθανότατα είχε κάποιους δεσμούς με το περιβόητη επίθεση στον αγωγό αποικιοκρατίας, γεγονός που διέκοψε την αλυσίδα εφοδιασμού καυσίμων στις ΗΠΑ.
Μετά την επίθεση ransomware Kaseya REvil, η ομάδα σώπασε για κάποιο χρονικό διάστημα για να μετριάσει την ανεπιθύμητη προσοχή που είχε φέρει στον εαυτό της. Υπήρχαν πολλές εικασίες ότι η ομάδα σχεδίαζε μια νέα σειρά επιθέσεων το καλοκαίρι του 2021, αλλά οι αρχές επιβολής του νόμου είχαν άλλα σχέδια για τους χειριστές του REvil.
Day of Reckoning για την REvil Cyber Gang
Καθώς η διαβόητη συμμορία ransomware επανεμφανίστηκε για νέες επιθέσεις, διαπίστωσαν ότι η υποδομή τους ήταν σε κίνδυνο και στράφηκαν εναντίον τους. Τον Ιανουάριο του 2022, η ρωσική κρατική υπηρεσία ασφαλείας FSB ανακοίνωσε ότι διέκοψε τις δραστηριότητες της ομάδας κατόπιν αιτήματος των Ηνωμένων Πολιτειών.
Πολλά μέλη συμμορίας συνελήφθησαν και κατασχέθηκαν τα περιουσιακά τους στοιχεία, συμπεριλαμβανομένων εκατομμυρίων δολαρίων ΗΠΑ, ευρώ και ρούβλια, καθώς και 20 πολυτελή αυτοκίνητα και πορτοφόλια κρυπτονομισμάτων. Οι συλλήψεις ransomware REvil πραγματοποιήθηκαν επίσης στην ανατολική Ευρώπη, συμπεριλαμβανομένης της Πολωνίας, όπου οι αρχές κρατούσαν έναν ύποπτο για την επίθεση στο Kaseya.
Η πτώση του REvil μετά τις συλλήψεις βασικών μελών της ομάδας ήταν φυσικά ευπρόσδεκτη στην κοινότητα ασφαλείας και πολλοί υπέθεσαν ότι η απειλή είχε περάσει εντελώς. Ωστόσο, η αίσθηση ανακούφισης ήταν βραχύβια καθώς η συμμορία έχει τώρα επανεκκινήσει τις δραστηριότητές της.
The Resurgence of REvil Ransomware
Ερευνητές από Secureworks ανέλυσε ένα δείγμα κακόβουλου λογισμικού από τον Μάρτιο και άφησε να εννοηθεί ότι η συμμορία μπορεί να επιστρέψει στη δράση. Οι ερευνητές διαπίστωσαν ότι ο προγραμματιστής πιθανότατα έχει πρόσβαση στον αρχικό πηγαίο κώδικα που χρησιμοποιούσε η REvil.
Ο τομέας που χρησιμοποιείται από τον ιστότοπο διαρροής REvil άρχισε επίσης να λειτουργεί ξανά, αλλά τώρα ανακατευθύνει τους επισκέπτες σε μια νέα διεύθυνση URL όπου παρατίθενται περισσότερες από 250 οργανώσεις θυμάτων REvil. Η λίστα περιέχει ένα μείγμα από παλιά θύματα του REvil και μερικούς νέους στόχους.
Η Oil India—μια ινδική εταιρεία πετρελαιοειδών—ήταν το πιο σημαντικό από τα νέα θύματα. Η εταιρεία επιβεβαίωσε την παραβίαση δεδομένων και ζητήθηκε λύτρα 7,5 εκατομμυρίων δολαρίων. Ενώ η επίθεση προκάλεσε εικασίες ότι το REvil επαναλάμβανε τις δραστηριότητές του, εξακολουθούσαν να υπάρχουν ερωτήματα σχετικά με το εάν επρόκειτο για αντιγραφή.
Ο μόνος τρόπος για να επιβεβαιώσετε την επιστροφή του REvil ήταν να βρείτε ένα δείγμα του κρυπτογραφητή της λειτουργίας ransomware και να δείτε αν είχε μεταγλωττιστεί από τον αρχικό πηγαίο κώδικα.
Στα τέλη Απριλίου, ο ερευνητής της Avast Jakub Kroustek ανακάλυψε τον κρυπτογράφηση ransomware και επιβεβαίωσε ότι ήταν πράγματι μια παραλλαγή του REvil. Το δείγμα δεν κρυπτογραφούσε αρχεία, αλλά πρόσθεσε μια τυχαία επέκταση στα αρχεία. Οι αναλυτές ασφαλείας είπαν ότι ήταν ένα σφάλμα που εισήγαγαν οι προγραμματιστές ransomware.
Πολλοί αναλυτές ασφαλείας έχουν δηλώσει ότι το νέο δείγμα ransomware συνδέεται με τον αρχικό πηγαίο κώδικα, πράγμα που σημαίνει ότι κάποιος από τη συμμορία —για παράδειγμα, ένας βασικός προγραμματιστής— πρέπει να έχει εμπλακεί.
Η σύνθεση της ομάδας REvil's
Η επανεμφάνιση του REvil μετά τις εικαζόμενες συλλήψεις νωρίτερα φέτος έχει εγείρει ερωτήματα σχετικά με τη σύνθεση της ομάδας και τους δεσμούς της με τη ρωσική κυβέρνηση. Η συμμορία σκοτώθηκε λόγω της επιτυχημένης διπλωματίας των ΗΠΑ πριν από την έναρξη της σύγκρουσης Ρωσίας-Ουκρανίας.
Για πολλούς, η ξαφνική αναζωπύρωση της ομάδας υποδηλώνει ότι η Ρωσία μπορεί να θέλει να τη χρησιμοποιήσει ως πολλαπλασιαστή δύναμης στις συνεχιζόμενες γεωπολιτικές εντάσεις.
Δεδομένου ότι κανένα άτομο δεν έχει ταυτοποιηθεί ακόμη, δεν είναι σαφές ποιος βρίσκεται πίσω από την επιχείρηση. Είναι αυτά τα ίδια άτομα που διηύθυναν τις προηγούμενες επιχειρήσεις ή έχει αναλάβει μια νέα ομάδα;
Η σύνθεση της ομάδας ελέγχου παραμένει ακόμα μυστήριο. Όμως, δεδομένων των συλλήψεων νωρίτερα φέτος, είναι πιθανό η ομάδα να έχει μερικούς χειριστές που δεν ήταν προηγουμένως μέρος του REvil.
Για ορισμένους αναλυτές, δεν είναι ασυνήθιστο οι ομάδες ransomware να πέφτουν και να επανεμφανίζονται με άλλες μορφές. Ωστόσο, δεν μπορεί κανείς να εξαλείψει εντελώς την πιθανότητα κάποιος να αξιοποιήσει τη φήμη της μάρκας για να εδραιώσει.
Προστασία από επιθέσεις REvil Ransomware
Η σύλληψη του βασιλιά του REvil ήταν μια μεγάλη μέρα για την ασφάλεια στον κυβερνοχώρο, ειδικά όταν ομάδες ransomware στόχευαν τα πάντα, από δημόσια ιδρύματα μέχρι νοσοκομεία και σχολεία. Όμως, όπως φαίνεται με οποιαδήποτε διακοπή της εγκληματικής δραστηριότητας στο διαδίκτυο, δεν σήμαινε το τέλος της πανδημίας ransomware.
Ο κίνδυνος στην περίπτωση του REvil είναι το σχέδιο διπλού εκβιασμού στο οποίο η ομάδα θα προσπαθήσει να πουλήσει τα δεδομένα σας και να αμαυρώσει την εικόνα μιας μάρκας και τις σχέσεις με τους πελάτες.
Γενικά, μια καλή στρατηγική για την αντιμετώπιση τέτοιων επιθέσεων είναι η ασφάλεια του δικτύου σας και η διεξαγωγή δοκιμών προσομοίωσης. Μια επίθεση ransomware συμβαίνει συχνά λόγω μη επιδιορθωμένων τρωτών σημείων και οι επιθέσεις προσομοίωσης μπορούν να σας βοηθήσουν να τις αναγνωρίσετε.
Μια άλλη βασική στρατηγική μετριασμού είναι να επαληθεύσετε όλους πριν μπορέσουν να αποκτήσουν πρόσβαση στο δίκτυό σας. Ως εκ τούτου, μια στρατηγική μηδενικής εμπιστοσύνης μπορεί να είναι επωφελής, καθώς λειτουργεί με βάση τη βασική αρχή του να μην εμπιστεύεστε ποτέ κανέναν και να επαληθεύετε κάθε χρήστη και συσκευή πριν τους παραχωρήσετε πρόσβαση σε πόρους δικτύου.
