REvil
REvil (Ransomware Evil, также известна как Sodinokibi) — организованная группа (банда) киберпреступников, предоставляющая услуги программ-вымогателей (ransomware)[1]. В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog. Группа базировалась на территории России[2] и была ликвидирована в ходе спецоперации ФСБ в январе 2022 года[3].
REvil | |
---|---|
Тип организации | Hacking |
Известные атаки
REvil считается одной из самых активных кибербанд в мире[4][5]. Некоторые атаки REvil получили широкую известность.
- Apple
Получила известность атака REvil на Apple, в ходе которой были похищены схемы будущих продуктов компании.
- Правительство Техаса
REvil связывают с нападением, совершенным в 2019 году на десятки органов местного самоуправления в Техасе[6].
- JBS S.A.
По мнению ФБР, именно REvil стоит за атакой на JBS — крупнейшего поставщика мяса в мире[7].
- Kaseya
2 июля 2021 года REvil атаковала американскую IT-компанию Kaseya — поставщика корпоративного ПО, после чего атака распространилась по сетям на клиентов Kaseya[lower-alpha 1]. Жертвами атаки стали около 200 клиентов Kaseya[lower-alpha 2][lower-alpha 3]. Компания по IT-безопасности Huntress Labs назвала эту атаку колоссальной. Хакеры утверждают, что в результате атаки на Kaseya им удалось получить доступ к миллиону компьютерных систем во всем мире и требуют от жертв 70 млн долларов в биткойнах в обмен на «универсальный дешифратор», который сможет, по их словам, вновь открыть все файлы[9]. Федеральное агентство по кибербезопасности начало расследование инцидента[6].
BBC News отмечает, что нападение на Kaseya произошло вскоре после встречи на высшем уровне между президентами России и США, на которой обсуждались, в том числе, и вопросы кибербезопасности[6].
Связь с Россией
Наблюдатели отмечали схожесть методов REvil с DarkSide — другой хакерской преступной группой, связываемой с Россией. Так, код программы-вымогателя, используемый DarkSide, напоминает код, используемый REvil, что говорит о том, что DarkSide является либо ответвлением либо партнером REvil[10][11]. Кроме того, и DarkSide, и REvil используют аналогично составленные требования выкупа и один и тот же код, проверяющий, что жертва не находится в стране СНГ[12].
Поводом для заявлений американских экспертов о принадлежности и связи группы REvil с Россией и российскими спецслужбами послужили «характерные элементы в коде шифровальщика и переписка на русском языке»[13]. Эксперт инжинирингового центра SafeNet Национальной технологической инициативы Игорь Бедеров полагает, что преступники могут сознательно использовать иностранные языки для того, чтобы скрыть национальную принадлежность, например, группы наркоторговцев и торговцев людьми разговаривали и вели переписку только на английском языке[14][15].
Специалисты компании Positive Technologies отмечают, что количество хакерских атак в мире выросло на 0,3 % во втором полугодии 2021 года[16][17], число атак на российские компании увеличилось в три раза[18][19]
Как выяснилось в январе 2022 года, группа действительно базировалась на территории России[20].
Крах
13 июля 2021 года сайты REvil в даркнете перестали отвечать на поисковые запросы. Некоторые эксперты в США предположили, что неожиданное исчезновение REvil из даркнета может быть связано с телефонным разговором между президентами США и России накануне[21].
Ведущие зарубежные издания — New York Times, CNN, BBC, независимый источник новостей и аналитических материалов о кибербезопасности Threatpost и другие — связали это действие с возможной блокировкой группы американскими спецслужбами, сворачиванием деятельности по приказу российских спецслужб или хакеры просто «ушли в тень», для чего покинули сетевое пространство, чтобы обезопасить себя от возможного ареста, как считают специалисты, в том числе директор по технологиям компании BreachQuest Джейк Уильямс (англ. Jake Williams)[22].
14 января 2022 года в ходе спецоперации ФСБ и МВД России, проведённой по запросу властей США, деятельность группировки была пресечена. Задержание проходило на территории Москвы, Санкт-Петербурга, Московской, Ленинградской и Липецкой областях[20]. У хакеров изъяли 426 миллионов рублей, 500 тысяч евро, 600 тысяч долларов, 20 автомобилей премиум-класса[3][23][5].
Последствия
Эксперты Trustwave отметили что волненения среди хакеров, начавшиеся ещё в 2021 году усилились после ареста REvil. Участники форумов начали обмениваться многочисленными советами о том, как обезопасить себя, если российские правоохранительные органы продолжат активную борьбу с киберпреступностью. Многие раскритиковали действия REvil за показное хвастовство своими достижениями и нападения на многомиллиардные корпорации, расположенные в странах, которые могли вынудить российское правительство принять меры[24].
По данным ИБ-компании ReversingLabs после арестов предполагаемых участников группировки число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю). Этот показатель намного выше по сравнению с сентябрем (43 заражений в сутки – 307 в неделю) и октябрем (22 заражений в сутки – 150 в неделю), 2021 года когда REvil внезапно ушла в offline, но существенно ниже по сравнению с июлем (87 заражений в сутки – 608 в неделю)[25].
Примечания
- Примечания
- Клиентская база Kaseya насчитывает десятки тысяч компаний в разных странах[6].
- Атака была произведена накануне длинных выходных, связанных с праздником Дня Независимости в США, что увеличило вредоносный эффект.
- В том числе, из-за атаки были временно закрыты 500 супермаркетов COOP в Швеции[8].
- Источники
- McAfee ATR Analyzes Sodinokibi aka REvil Ransomware-as-a-Service - The All-Stars (англ.) ?. McAfee Blogs (2 октября 2019). Дата обращения: 7 октября 2020.
- В городах Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях пресечена противоправная деятельность членов организованного преступного сообщества… ФСБ поймала хакеров REvil. Они вымогали у Трампа $42 млн за «грязное белье»
- Подробная информация :: Федеральная Служба Безопасности . www.fsb.ru. Дата обращения: 14 января 2022.
- Сотни американских компаний стали жертвами кибератаки. Её связывают с российскими хакерами, BBC, 3.07.2021
- ФСБ задержала хакерскую группировку REvil после обращения США . ТАСС (14 января 2022). Дата обращения: 14 января 2022.
- US companies hit by 'colossal' cyber-attack, BBC, 3.07.2021
- JBS: Cyber-attack hits world’s largest meat supplier, BBC, 2.06.2021
- Swedish Coop supermarkets shut due to US ransomware cyber-attack, BBC, 4.07.2021
- Хакеры требуют от жертв кибератаки на Kaseya 70 млн долларов в биткоинах, BBC, 5.07.2021
- David E. Sanger & Nicole Perlroth, F.B.I. Identifies Group Behind Pipeline Hack (англ.). www.nytimes.com. Дата обращения: 27 сентября 2021., New York Times (May 10, 2021).
- Charlie Osborne, Researchers track down five affiliates of DarkSide ransomware service (англ.). www.zdnet.com. Дата обращения: 27 сентября 2021., ZDNet (May 12, 2021).
- What We Know About the DarkSide Ransomware and the US Pipeline Attack (англ.). www.trendmicro.com. Дата обращения: 27 сентября 2021., Trend Micro Research (May 14, 2021)
- Ransomware gang that hit meat supplier mysteriously vanishes from the internet (англ.). edition.cnn.com. Дата обращения: 27 сентября 2021.
- Ушли в тень: почему хакерская группировка REvil свернула свою деятельность . forbes.ru. Дата обращения: 27 сентября 2021.
- Хакерская группировка REvil вернулась в даркнет после отсутствия в течение нескольких недель . 3dnews.ru. Дата обращения: 27 сентября 2021.
- Число кибератак в мире во втором квартале 2021 года выросло на 0,3 % . iz.ru. Дата обращения: 27 сентября 2021.
- Российские компании атаковала самая крупная в истории интернета зараженная сеть . lenta.ru. Дата обращения: 27 сентября 2021.
- Количество кибератак на российские организации увеличилось в три раза . cisoclub.ru. Дата обращения: 27 сентября 2021.
- Испанский бот пошел на абордаж . www.kommersant.ru. Дата обращения: 27 сентября 2021.
- ФСБ поймала хакеров REvil. Они вымогали у Трампа $42 млн за «грязное белье»
- Хакерская группа REvil, которую в США связывают с Кремлем, исчезла из даркнета
- Ransomware Giant REvil’s Sites Disappear (англ.). threatpost.com. Дата обращения: 27 сентября 2021.
- У банды хакеров REvil изъяли сотни миллионов рублей и десятки авто . Лента.Ру (14 января 2022). Дата обращения: 14 января 2022.
- Арест участников хак-группы REvil взволновал других преступников // Xakep.ru
- Аресты участников группировки REvil никак не сказались на ее активности // SecurityLab.ru