REvil

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 27. maaliskuuta 2022 tarkistetusta versiosta . tarkastukset vaativat 4 muokkausta .
REvil
Organisaation tyyppi Hakkerointi

REvil ( Ransomware Evil , joka tunnetaan myös nimellä Sodinokibi ) on järjestäytynyt kyberrikollisten ryhmä (joukko), joka tarjoaa kiristysohjelmapalveluita [1] . Jos lunnaat kieltäytyivät maksamasta , REvil julkaisi uhrin luottamukselliset tiedot Happy Blog -sivullaan . Ryhmän kotipaikka oli Venäjällä [2] , ja se likvidoitiin FSB : n erityisoperaation aikana tammikuussa 2022 [3] .

Merkittäviä hyökkäyksiä

REvilä pidetään yhtenä maailman aktiivisimmista kyberjengeistä [4] [5] . Jotkut REvilin hyökkäyksistä ovat saaneet laajaa julkisuutta.

Omena

Applen REvil-hyökkäys sai mainetta , jonka aikana yrityksen tulevien tuotteiden suunnitelmat varastettiin.

Texasin hallitus

REvil on yhdistetty vuonna 2019 tehtyyn hyökkäykseen kymmeniä Texasin paikallishallintoa vastaan ​​[6] .

JBS SA

FBI : n mukaan REvil on  maailman suurinta lihantoimittajaa JBS:ää vastaan ​​tehdyn hyökkäyksen takana [7] .

Kaseya

2. heinäkuuta 2021 REvil hyökkäsi amerikkalaisen IT-yrityksen Kaseya, yritysohjelmistojen toimittajan kimppuun, minkä jälkeen hyökkäys levisi verkoissa Kaseyan asiakkaille [a] . Noin 200 Kaseyan [b] [c] asiakasta joutui hyökkäyksen uhreiksi . IT-turvayhtiö Huntress Labs kutsui hyökkäystä valtavaksi. Hakkerit väittävät saaneensa pääsyn miljoonaan tietokonejärjestelmään maailmanlaajuisesti Kaseya-hyökkäyksen seurauksena ja vaativat uhreilta 70 miljoonaa dollaria bitcoineja vastineeksi "yleisestä salauksenpurkuohjelmasta", jonka he sanovat voivan avata kaikki tiedostot uudelleen [9 ] . Liittovaltion kyberturvallisuusvirasto käynnisti tapauksen tutkinnan [6] .

BBC News huomauttaa, että hyökkäys Kaseyaan tapahtui pian Venäjän ja Yhdysvaltojen presidenttien huippukokouksen jälkeen , jossa keskusteltiin muun muassa kyberturvallisuuskysymyksistä [6] .

Yhteys Venäjään

Tarkkailijat ovat havainneet REvilin menetelmien samankaltaisuuden kuin DarkSide  , toinen hakkerointirikollisryhmä, jolla on yhteyksiä Venäjään. Esimerkiksi DarkSiden käyttämä kiristysohjelmakoodi muistuttaa REvilin käyttämää, mikä viittaa siihen, että DarkSide on joko REvilin haarukka tai kumppani [10] [11] . Lisäksi sekä DarkSide että REvil käyttävät samalla tavalla laadittuja lunnaita koskevia vaatimuksia ja samaa koodia, joka tarkistaa, ettei uhri ole IVY -maassa [12] .

Syynä amerikkalaisten asiantuntijoiden lausuntoihin REvil-ryhmän kuulumisesta ja yhteydestä Venäjään ja Venäjän erikoispalveluihin olivat "luonnollisia elementtejä salakoodissa ja venäjänkielisessä kirjeenvaihdossa" [13] . National Technology Initiativen SafeNetin suunnittelukeskuksen asiantuntija Igor Bederov uskoo, että rikolliset voivat tarkoituksella käyttää vieraita kieliä salatakseen kansallisuutensa, esimerkiksi huumekauppiaiden ja ihmiskauppiaiden ryhmät puhuivat ja kirjeenvaihtoivat vain englanniksi [14] [15] .

Positive Technologies -asiantuntijat huomauttavat, että hakkerihyökkäysten määrä maailmassa kasvoi 0,3 % vuoden 2021 toisella puoliskolla [16] [17] , venäläisiä yrityksiä vastaan ​​tehtyjen hyökkäysten määrä kolminkertaistui [18] [19]

Kuten tammikuussa 2022 kävi ilmi, ryhmä todellakin sijaitsi Venäjällä [20] .

Kutista

13. heinäkuuta 2021 pimeän verkon REvil-sivustot lopettivat vastaamisen hakukyselyihin. Jotkut yhdysvaltalaiset asiantuntijat ovat ehdottaneet, että REvilin äkillinen katoaminen darknetistä saattaa johtua Yhdysvaltojen ja Venäjän presidenttien välisestä puhelinkeskustelusta edellisenä päivänä [21] .

Johtavat ulkomaiset julkaisut - New York Times , CNN , BBC , Threatpost, riippumaton kyberturvallisuutta koskevien uutisten ja analyyttisten materiaalien lähde ja muut - liittivät tämän toimenpiteen mahdolliseen ryhmän estämiseen Yhdysvaltain tiedustelupalvelujen toimesta, toiminnan rajoittamiseen Venäjän tiedustelupalvelut tai hakkerit yksinkertaisesti "menivät varjoihin", joiden vuoksi asiantuntijat, mukaan lukien BreachQuestin teknologiajohtaja Jake Williams (s. Jake Williams), poistuivat verkkotilasta suojautuakseen mahdollisilta pidätyksiltä [22 ] .

14. tammikuuta 2022 FSB :n ja Venäjän sisäministeriön erityisoperaation aikana , joka toteutettiin Yhdysvaltain viranomaisten pyynnöstä, ryhmän toiminta lopetettiin. Pidätys tapahtui Moskovan , Pietarin , Moskovan , Leningradin ja Lipetskin alueilla [20] . Hakkerit takavarikoivat 426 miljoonaa ruplaa, 500 tuhatta euroa, 600 tuhatta dollaria, 20 premium-autoa [3] [23] [5] .

Seuraukset

Trustwave asiantuntijat huomauttivat, että vuonna 2021 alkaneet levottomuudet hakkereiden keskuudessa kiihtyivät REvilin pidätyksen jälkeen. Foorumin osallistujat alkoivat vaihtaa lukuisia vinkkejä siitä, miten suojella itseään, jos Venäjän lainvalvontaviranomaiset jatkavat aktiivista tietoverkkorikollisuuden torjuntaa. Monet kritisoivat REvilin toimintaa räikeästä kehumisesta sen saavutuksista ja hyökkäyksistä usean miljardin dollarin yrityksiin, jotka sijaitsevat maissa, jotka voisivat pakottaa Venäjän hallituksen toimiin [24] .

Tietoturvayhtiö ReversingLabsin mukaan ryhmän väitettyjen jäsenten pidätysten jälkeen uusien tartuntojen määrä päivässä nousi 24:stä (169 viikossa) 26:een (180 viikossa). Tämä luku on paljon korkeampi verrattuna vuoden 2021 syyskuuhun (43 tartuntaa päivässä - 307 viikossa) ja lokakuuhun (22 tartuntaa päivässä - 150 viikossa), jolloin REvil yhtäkkiä poistui verkkoyhteydestä, mutta huomattavasti pienempi verrattuna heinäkuuhun (87 tartuntaa päivässä). - 608 viikossa) [25] .

Palaa

19. huhtikuuta kyberturvallisuusasiantuntijat pancak3 ja Soufiane Tahiri huomasivat ensimmäisenä REvil-sivustojen toiminnan. Tosiasia on, että uutta "vuotojen sivustoa" REvilia alettiin mainostaa venäjänkielisen foorumi-markkinapaikan RuTOR kautta (jota ei pidä sekoittaa samannimiseen torrent-seurantaohjelmaan). Uutta sivustoa isännöidään eri verkkotunnuksessa, mutta se on linkitetty alkuperäiseen REvil-sivustoon, joka oli käytössä ryhmän ollessa vielä aktiivinen. Sivuston 26 sivulla luetellaan myös kiristysohjelmista kärsineet yritykset, joista suurin osa on REvilin vanhoja uhreja. Vain kaksi viimeistä hyökkäystä näyttävät liittyvän uuteen kampanjaan, ja yksi uhreista on öljy- ja kaasuyhtiö Oil India. [26]

Muistiinpanot

Kommentit

  1. Kaseyan asiakaskuntaan kuuluu kymmeniä tuhansia yrityksiä eri maissa [6] .
  2. Hyökkäys tehtiin Yhdysvaltojen itsenäisyyspäivän juhlaan liittyvän pitkän viikonlopun aattona , mikä lisäsi ilkeä vaikutusta.
  3. ↑ Mukaan lukien 500 COOP -supermarketia Ruotsissa [8] suljettiin väliaikaisesti hyökkäyksen vuoksi .

Lähteet

  1. McAfee ATR analysoi Sodinokibin eli REvil Ransomware-as-a-Servicen - All-   Stars ? . McAfee-blogit (2. lokakuuta 2019). Haettu 7. lokakuuta 2020. Arkistoitu alkuperäisestä 26. syyskuuta 2020.
  2. Moskovan, Pietarin, Moskovan, Leningradin ja Lipetskin alueilla järjestäytyneen rikollisyhteisön jäsenten laiton toiminta lopetettiin... FSB sai kiinni REvil-hakkerit. He kiristivät Trumpilta 42 miljoonaa dollaria "likapesusta" Arkistoitu 15. tammikuuta 2022 Wayback Machinessa
  3. 1 2 Yksityiskohtaiset tiedot :: Liittovaltion turvallisuuspalvelu . www.fsb.ru _ Haettu 14. tammikuuta 2022. Arkistoitu alkuperäisestä 14. tammikuuta 2022.
  4. Sadat amerikkalaiset yritykset joutuivat kyberhyökkäyksen uhreiksi. Linkitetty venäläisiin hakkereihin Arkistoitu 3. heinäkuuta 2021 the Wayback Machine , BBC, 03.07.2021
  5. 1 2 FSB pidätti REvil-hakkeriryhmän Yhdysvaltain valituksen jälkeen . TASS (14. tammikuuta 2022). Haettu 14. tammikuuta 2022. Arkistoitu alkuperäisestä 14. tammikuuta 2022.
  6. 1 2 3 4 yhdysvaltalaista yritystä, jotka joutuivat "kolossaaliseen" kyberhyökkäykseen Arkistoitu 3. heinäkuuta 2021 The Wayback Machinessa , BBC, 3.7.2021
  7. JBS: Kyberhyökkäys iskee maailman suurimmalle lihantoimittajalle Arkistoitu 7. kesäkuuta 2021 Wayback Machinessa , BBC, 2.6.2021
  8. Ruotsalaiset Coop-supermarketit suljettiin Yhdysvaltain kiristysohjelmien kyberhyökkäyksen vuoksi. Arkistoitu 4. heinäkuuta 2021 Wayback Machinessa , BBC, 4.7.2021
  9. Hakkerit vaativat 70 miljoonaa dollaria bitcoineja Kaseyan kyberhyökkäyksen uhreilta. Arkistoitu 5. heinäkuuta 2021 Wayback Machinessa , BBC, 7.5.2021
  10. ↑ David E. Sanger ja Nicole Perlroth, FBI tunnistaa Pipeline Hack -ryhmän  . www.nytimes.com . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 6. kesäkuuta 2021. , New York Times (10. toukokuuta 2021).
  11. Charlie Osborne, Tutkijat jäljittävät viisi DarkSide ransomware -palvelun  tytäryhtiötä . www.zdnet.com . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 7. kesäkuuta 2021. , ZDNet (12. toukokuuta 2021).
  12. Mitä tiedämme DarkSide Ransomwaresta ja US Pipeline  Attackista . www.trendmicro.com . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 8. lokakuuta 2021. , Trend Micro Research (14. toukokuuta 2021)
  13. Lihantoimittajaa iskenyt Ransomware-jengi katoaa mystisesti  internetistä . edition.cnn.com . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  14. Mennyt varjoihin: miksi REvil-hakkeriryhmä rajoitti toimintaansa . forbes.ru . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  15. REvil - hakkeriryhmä palaa pimeään verkkoon useiden viikkojen poissaolon jälkeen . 3dnews.ru . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  16. ↑ Kyberhyökkäysten määrä maailmassa kasvoi vuoden 2021 toisella neljänneksellä 0,3 % . iz.ru. _ Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  17. Internetin historian suurin tartunnan saanut verkko hyökkäsi venäläisyrityksiin . lenta.ru . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  18. Venäläisiä organisaatioita vastaan ​​tehtyjen kyberhyökkäysten määrä on kolminkertaistunut . cisoclub.ru _ Haettu: 27.9.2021.
  19. espanjalainen botti noussut . www.kommersant.ru _ Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  20. 1 2 FSB sai kiinni REvil-hakkerit. He kiristivät Trumpilta 42 miljoonaa dollaria likapesusta . Haettu 15. tammikuuta 2022. Arkistoitu alkuperäisestä 15. tammikuuta 2022.
  21. Hakkeriryhmä REvil, joka Yhdysvalloissa yhdistetään Kremliin, on kadonnut darknetistä . Haettu 14. heinäkuuta 2021. Arkistoitu alkuperäisestä 14. heinäkuuta 2021.
  22. Ransomware Giant REvilin sivustot katoavat  . uhkapost.com . Haettu 27. syyskuuta 2021. Arkistoitu alkuperäisestä 27. syyskuuta 2021.
  23. REvil-hakkerijoukolta takavarikoitu satoja miljoonia ruplia ja kymmeniä autoja . Lenta.Ru (14. tammikuuta 2022). Haettu 14. tammikuuta 2022. Arkistoitu alkuperäisestä 14. tammikuuta 2022.
  24. REvil-hakkerointiryhmän jäsenten pidätys innosti muita rikollisia Arkistoitu 31. tammikuuta 2022 Wayback Machinessa // Xakep.ru
  25. REvil-ryhmän jäsenten pidätykset eivät vaikuttaneet sen toimintaan millään tavalla . Arkistoitu kopio 28. tammikuuta 2022 Wayback Machinessa // SecurityLab.ru
  26. REvil-ryhmän Tor-sivustot alkoivat yhtäkkiä taas toimia  (venäjäksi)  ? . Haettu 1. toukokuuta 2022. Arkistoitu alkuperäisestä 29. huhtikuuta 2022.