REvil, izjemna operacija Ransomware-as-a-Service (RaaS), ki je prvič prišla na dan konec aprila 2019, se je vrnila. Zdi se, da je po šestih mesecih nedejavnosti – po napadu ruskih oblasti – skupina za odkupno programsko opremo ponovno začela delovati.
Analiza novih vzorcev izsiljevalske programske opreme razkrije, da ima razvijalec dostop do izvorne kode REvil, kar pomeni, da se je skupina groženj ponovno pojavila. Ti sumi so se še okrepili, ko se je na temnem spletu ponovno zagnalo spletno mesto ekipe za izsiljevalsko programsko opremo.
Videli smo že veliko skupin izsiljevalske programske opreme, toda v čem je REvil poseben? Kaj vrnitev skupine pomeni za kibernetski svet? Pa ugotovimo!
Kaj naredi REvil Ransomware edinstven?
REvil si je ustvaril sloves, ker je sledil odmevnim in zelo donosnim ciljem ter od svojih žrtev zahteval previsoka plačila. To je tudi ena prvih skupin, ki je sprejela taktiko dvojnega izsiljevanja, v kateri so izvlekli podatke žrtve in jih šifrirali.
The dvojno izsiljevanje ransomware
Shema omogoča REvilu, da zahteva dve odkupnini za visoke finančne dobičke. V intervjuju z Ruski OSINT, so razvijalci skupine trdili, da so v enem letu zaslužili več kot 100 milijonov dolarjev s ciljanjem na velika podjetja. Vendar je le del tega šel razvijalcem, medtem ko so podružnice dobile levji delež.Večji napadi izsiljevalske programske opreme REvil
Za nekaterimi je stala skupina REvil ransomware največji napadi izsiljevalske programske opreme v letih 2020-21. Skupina je prvič prišla v središče pozornosti leta 2020, ko je napadla Travelex, kar je na koncu pripeljalo do propada podjetja. Naslednje leto je REvil začel prihajati na naslovnice z uprizarjanjem zelo donosnih kibernetskih napadov, ki so motili javno infrastrukturo in dobavne verige.
Skupina je napadla podjetja, kot so Acer, Quanta Computer, JBS Foods ter ponudnika upravljanja IT in programske opreme Kaseya. Skupina je verjetno imela nekaj povezav z zloglasni napad na kolonialni plinovod, kar je motilo dobavno verigo goriva v ZDA.
Po napadu izsiljevalske programske opreme Kaseya REvil je skupina za nekaj časa utihnila, da bi ublažila neželeno pozornost, ki jo je pritegnila nase. Veliko je bilo ugibanj, da skupina načrtuje novo serijo napadov poleti 2021, vendar so imeli organi pregona druge načrte za operaterje REvil.
Dan obračuna za kibernetsko tolpo REvil
Ko se je zloglasna tolpa izsiljevalske programske opreme znova pojavila zaradi novih napadov, so ugotovili, da je njihova infrastruktura ogrožena, in se obrnili proti njim. Januarja 2022 je ruska državna varnostna služba FSB sporočila, da je na zahtevo Združenih držav prekinila dejavnosti skupine.
Več članov tolpe je bilo aretiranih, zaseženih pa je bilo njihovo premoženje, vključno z milijoni ameriških dolarjev, evrov in rubljev, pa tudi 20 luksuznih avtomobilov in denarnic za kriptovalute. Odkupniška programska oprema REvil je bila aretirana tudi v vzhodni Evropi, vključno s Poljsko, kjer so oblasti zadrževale osumljenca za napad Kaseya.
Propad REvila po aretacijah ključnih članov skupine je bil v varnostni skupnosti seveda dobrodošel in mnogi so domnevali, da je grožnja v celoti minila. Vendar je bil občutek olajšanja kratkotrajen, saj je tolpa ponovno začela delovati.
Ponoven vzpon odkupovalne programske opreme REvil
Raziskovalci iz Secureworks analiziral vzorec zlonamerne programske opreme iz marca in namignil, da je tolpa morda spet v akciji. Raziskovalci so ugotovili, da ima razvijalec verjetno dostop do izvirne izvorne kode, ki jo uporablja REvil.
Ponovno je začela delovati tudi domena, ki jo uporablja spletno mesto REvil za puščanje, vendar zdaj preusmerja obiskovalce na nov URL, kjer je navedenih več kot 250 organizacij žrtev REvil. Seznam vsebuje mešanico starih žrtev REvil in nekaj novih tarč.
Oil India – indijsko naftno podjetje – je bila najvidnejša med novimi žrtvami. Podjetje je potrdilo kršitev podatkov in prejelo zahtevo za 7,5 milijona dolarjev odkupnine. Medtem ko je napad povzročil špekulacije, da REvil nadaljuje z delovanjem, so se še vedno pojavljala vprašanja o tem, ali gre za operacijo kopiranja.
Edini način za potrditev vrnitve REvil-a je bil najti vzorec šifrirnika operacije izsiljevalske programske opreme in preveriti, ali je bil preveden iz izvirne izvorne kode.
Konec aprila je raziskovalec Avast Jakub Kroustek odkril šifrirnik izsiljevalne programske opreme in potrdil, da je to res različica REvil. Vzorec ni šifriral datotek, ampak je datotekam dodal naključno razširitev. Varnostni analitiki pravijo, da gre za napako, ki so jo uvedli razvijalci ransomware.
Več varnostnih analitikov je izjavilo, da je novi vzorec izsiljevalske programske opreme povezan z izvirno izvorno kodo, kar pomeni, da je moral biti vpleten nekdo iz tolpe – na primer glavni razvijalec.
Sestava REvil's Group
Ponovni nastop REvila po domnevnih aretacijah v začetku tega leta je sprožil vprašanja o sestavi skupine in njenih povezavah z rusko vlado. Tolpa je zaradi uspešne ameriške diplomacije pred začetkom rusko-ukrajinskega konflikta stemnila.
Za mnoge nenaden ponovni vzpon skupine nakazuje, da bi jo Rusija morda želela uporabiti kot multiplikator sile v sedanjih geopolitičnih napetostih.
Ker še ni bil identificiran noben posameznik, ni jasno, kdo stoji za operacijo. Ali so to isti posamezniki, ki so vodili prejšnje operacije, ali je prevzela nova skupina?
Sestava kontrolne skupine je še vedno skrivnost. Toda glede na aretacije v začetku tega leta je verjetno, da ima skupina nekaj operaterjev, ki prej niso bili del REvil.
Za nekatere analitike ni nenavadno, da skupine izsiljevalske programske opreme zaidejo in se znova pojavijo v drugih oblikah. Vendar pa ni mogoče popolnoma odpraviti možnosti, da bi nekdo izkoristil ugled blagovne znamke, da bi se uveljavil.
Zaščita pred napadi izsiljevalske programske opreme REvil
Aretacija REvilovega kralja je bila velik dan za kibernetsko varnost, še posebej, ko so skupine izsiljevalske programske opreme ciljale na vse, od javnih ustanov do bolnišnic in šol. Toda, kot je razvidno iz kakršnih koli motenj v spletnih kriminalnih dejavnostih, to ni pomenilo konca pandemije odkupne programske opreme.
Nevarnost v primeru REvil je shema dvojnega izsiljevanja, v kateri bi skupina poskušala prodati vaše podatke in ogroziti podobo blagovne znamke in odnose s strankami.
Na splošno je dobra strategija za boj proti takšnim napadom zavarovanje vašega omrežja in izvajanje simulacijskih testov. Napad izsiljevalne programske opreme se pogosto zgodi zaradi nepopravljivih ranljivosti, simulacijski napadi pa vam lahko pomagajo pri prepoznavanju.
Druga ključna strategija za ublažitev je, da preverite vse, preden lahko dostopajo do vašega omrežja. Kot taka je strategija brez zaupanja lahko koristna, saj deluje po osnovnem načelu, da nikoli nikomur ne zaupate in preverite vsakega uporabnika in napravo, preden jim omogočite dostop do omrežnih virov.
