A REvil, egy félelmetes Ransomware-as-a-Service (RaaS) művelet, amely először 2019 áprilisának végén látott napvilágot, visszatért. Hat hónap tétlenség után – az orosz hatóságok razziáját követően – úgy tűnik, hogy a ransomware csoport újraindult.
Az új zsarolóprogram-minták elemzése feltárja, hogy a fejlesztő hozzáfér a REvil forráskódjához, ami azt jelenti, hogy a fenyegetéscsoport újra felbukkant. Ezeket a gyanúkat még tovább erősítették, amikor a zsarolóvírus-csapat oldala újraindult a sötét weben.
Rengeteg ransomware csoportot láttunk már, de mitől különleges a REvil? Mit jelent a csoport visszatérése a kibervilág számára? Találjuk ki!
Mitől egyedi a REvil Ransomware?
A REvil hírnevet szerzett azzal, hogy nagy horderejű és rendkívül jövedelmező célpontokat keres, és túlzott fizetéseket követelt áldozataitól. Ez az egyik első csoport, amely a kettős zsarolási taktikát alkalmazta, amelynek során kiszűrték az áldozat adatait és titkosították azokat.
Az kettős zsaroló zsarolóprogram A rendszer lehetővé teszi a REvilnek, hogy két váltságdíjat követeljen magas pénzügyi haszonért. Egy interjúban
Orosz OSINT, a csoport fejlesztői azt állították, hogy több mint 100 millió dollárt kerestek egy év alatt a nagyvállalatok megcélzásával. Ennek azonban csak a töredéke került a fejlesztőkhöz, míg a leányvállalatok oroszlánrészt kaptak.Jelentős REvil Ransomware támadások
A REvil ransomware csoport állt néhány mögött 2020-21 legnagyobb ransomware támadásai. A csoport először 2020-ban került rivaldafénybe, amikor megtámadta a Travelexet, ami végül a cég megszűnéséhez vezetett. A következő évben a REvil az állami infrastruktúrát és az ellátási láncokat megzavaró, rendkívül jövedelmező kibertámadásokkal kezdett a címlapokra kerülni.
A csoport olyan cégeket támadott meg, mint az Acer, a Quanta Computer, a JBS Foods, valamint a Kaseya informatikai menedzsment- és szoftverszolgáltató. A csoportnak valószínűleg volt néhány kapcsolata a hírhedt Colonial Pipeline támadás, amely megzavarta az üzemanyag-ellátási láncot az Egyesült Államokban.
A Kaseya REvil ransomware támadást követően a csoport elhallgatott egy ideig, hogy csökkentse a nem kívánt figyelmet, amelyet magára vont. Sok találgatás volt arról, hogy a csoport új támadássorozatot tervez 2021 nyarán, de a rendfenntartóknak más tervei voltak a REvil üzemeltetőivel kapcsolatban.
A REvil Cyber Gang elszámolásának napja
Ahogy a hírhedt ransomware banda új támadások miatt felbukkant, azt találták, hogy infrastruktúrájuk veszélybe került, és ellenük fordultak. 2022 januárjában az orosz állambiztonsági szolgálat, az FSZB bejelentette, hogy az Egyesült Államok kérésére megzavarta a csoport tevékenységét.
A banda több tagját letartóztatták, és lefoglalták vagyonukat, köztük több millió amerikai dollárt, eurót és rubelt, valamint 20 luxusautót és kriptovaluta pénztárcát. A REvil ransomware-eket Kelet-Európában is letartóztatták, beleértve Lengyelországot is, ahol a hatóságok a Kaseya támadás gyanúsítottját fogták.
A REvil bukását a csoport kulcsfontosságú tagjainak letartóztatása után természetesen üdvözölték a biztonsági közösségben, és sokan azt feltételezték, hogy a fenyegetés teljesen elmúlt. A megkönnyebbülés azonban rövid életű volt, mivel a banda most újraindította működését.
A REvil Ransomware újjáéledése
Kutatók a Secureworks egy márciusi rosszindulatú programmintát elemzett, és arra utalt, hogy a banda újra működésbe léphet. A kutatók azt találták, hogy a fejlesztő valószínűleg hozzáfér a REvil által használt eredeti forráskódhoz.
A REvil kiszivárogtató webhely által használt domain is újra működni kezdett, de most egy új URL-re irányítja át a látogatókat, ahol több mint 250 REvil áldozati szervezet szerepel. A lista REvil régi áldozatainak és néhány új célpontnak a keverékét tartalmazza.
Az Oil India – egy indiai kőolajipari vállalat – volt a legjelentősebb az új áldozatok közül. A cég megerősítette az adatszivárgást, és 7,5 millió dolláros váltságdíjat követeltek. Noha a támadás azt feltételezte, hogy a REvil újraindítja működését, továbbra is felmerültek kérdések, hogy ez egy másolási művelet-e.
Az egyetlen módja annak, hogy megerősítsük a REvil visszatérését, az volt, hogy keresünk egy mintát a zsarolóvírus-művelet titkosítójából, és megnézzük, hogy az eredeti forráskódból lett-e összeállítva.
Április végén Jakub Kroustek, az Avast kutatója felfedezte a zsarolóvírus-titkosítót, és megerősítette, hogy az valóban egy REvil-változat. A minta nem titkosította a fájlokat, hanem véletlenszerű kiterjesztést adott a fájlokhoz. Biztonsági elemzők szerint ez egy zsarolóprogram-fejlesztők által bevezetett hiba.
Több biztonsági elemző is kijelentette, hogy az új zsarolóvírus-minta az eredeti forráskódhoz kapcsolódik, ami azt jelenti, hogy a bandából valakinek – például egy központi fejlesztőnek – kellett részt vennie.
A REvil's Group összetétele
A REvil újbóli megjelenése az év eleji állítólagos letartóztatások után kérdéseket vetett fel a csoport összetételével és az orosz kormánnyal való kapcsolatával kapcsolatban. A banda elsötétült az orosz-ukrán konfliktus kezdete előtt sikeres amerikai diplomáciának köszönhetően.
Sokak számára a csoport hirtelen újjáéledése azt sugallja, hogy Oroszország a jelenlegi geopolitikai feszültségek megszilárdításában erőtöbbszörözheti.
Mivel még senkit nem azonosítottak, nem világos, hogy ki áll a művelet hátterében. Ezek ugyanazok az egyének, akik a korábbi műveleteket vezették, vagy egy új csoport vette át az irányítást?
Az irányító csoport összetétele máig rejtély. De tekintettel az év eleji letartóztatásokra, valószínű, hogy a csoportnak van néhány olyan kezelője, akik korábban nem voltak a REvil részei.
Egyes elemzők számára nem ritka, hogy a ransomware csoportok megszűnnek, és más formákban újra megjelennek. Azonban nem zárhatjuk ki teljesen annak lehetőségét, hogy valaki a márka hírnevét kihasználva megvesse a lábát.
Védelem a REvil Ransomware támadások ellen
A REvil királyfiának letartóztatása nagy nap volt a kiberbiztonság szempontjából, különösen akkor, amikor a zsarolóvírus-csoportok mindenre kiterjedtek a közintézményektől a kórházakig és iskolákig. De amint az az online bűnözői tevékenység megszakításáról látható, ez nem jelentette a ransomware-járvány végét.
A REvil esetében a veszély a kettős zsarolási séma, amelyben a csoport megpróbálja eladni az Ön adatait, és rontja a márka imázsát és az ügyfélkapcsolatokat.
Általánosságban elmondható, hogy az ilyen támadások elleni küzdelemre jó stratégia a hálózat biztonsága és szimulációs tesztek elvégzése. A zsarolóprogram-támadások gyakran a kijavítatlan sebezhetőségek miatt következnek be, és a szimulációs támadások segíthetnek azonosítani őket.
Egy másik kulcsfontosságú enyhítő stratégia az, hogy mindenkit ellenőrizni kell, mielőtt hozzáférhetne a hálózatához. Mint ilyen, a zéró bizalom stratégia előnyös lehet, mivel azon az alapelven működik, hogy soha senkiben nem bízik meg, és minden felhasználót és eszközt ellenőriz, mielőtt hozzáférést biztosít számukra a hálózati erőforrásokhoz.