Разделы

Безопасность Стратегия безопасности Техника

Древнее зло вернулось. Кто-то разбудил серверы знаменитого шифровальщика REvil

После серии скандальных атак группировка REvil внезапно замолчала в июле этого 2021 г. Теперь часть её ресурсов вновь активизировалась, и пока не ясно, включили ли их сами операторы шифровальщика или кто-то другой.

Древнее зло пробудилось

Шифровальная группировка REvil неожиданно пробудилась: в начале сентября 2021 г. возобновила функционирование ее серверной инфраструктуры, и пока остаётся гадать, с чем это связано.

Группировка REvil, также известная как Sobinokibi, 2 июля 2021 г. совершила одну из самых масштабных кибератак в истории: используя уязвимость нулевого дня в ПО компании Kaseya, REvil смогла разом атаковать несколько десятков сервис-провайдеров, использовавших это ПО, а через них - 1500 других компаний.

С пострадавших вымогатели потребовали $5 млн - по $44999 за каждую компанию, затронутую шифровальщиком.

Ещё $70 млн злоумышленники потребовали за мастер-ключ для расшифровки всех файлов, принадлежавших жертвам, но вскоре сбросили цену до $50 млн.

После этого стало известно, что правоохранительные органы США развернули форменную охоту на участников REvil. Деятельность шифровальных группировок из России стала даже темой для переговоров между властями России и США: Белый дом обратился к Кремлю с настоятельной просьбой принять меры к кибербандитам, в противном случае обещая предпринять их самостоятельно.

Серверы скандальной группировки REvil, разгромленной летом 2021 г., вновь активизировались

Вскоре после этого REvil исчезла: вся ее инфраструктура, включая серверы в защищённой сети Tor, разом замолчала. Жертвы шифровальщика, пытавшиеся договориться о расшифровке файлов за выкуп, не могли связаться со злоумышленниками.

Впрочем, позднее представители Kaseya получили мастер-ключ для дешифровки. В качестве источника была названа «заслуживающая доверия третья сторона». Существует предположение, что ключи расшифровки получили российские спецслужбы, после чего передали их ФБР в качестве жеста доброй воли.

Послужной список REvil/Sodinokibi

Первые атаки группировки REvil/Sodinokibi приходятся на апрель 2019 г. Шифровальщик написан на основе более ранней аналогичной программы GandCrab, о чём разработчики REvil говорили напрямую. На пике активности на GandCrab приходилось до 40% заражений шифровальщиками во всём мире и, когда группировка объявила о завершении деятельности в 2019 г., её члены хвастались, что им удалось собрать более $2 млрд в виде откупных выплат всего за один год.

REvil почти сразу назвали «наследником» GandCrab, и за последующие два года эта группировка отметилась целым рядом громких атак. Помимо шифрования, злоумышленники ещё и выводили данные и требовали двойной выкуп.

Среди жертв REvil и её партнёров - Quanta, тайваньская компания, поставщик оборудования для дата-центров Apple; злоумышленники утверждали, что им удалось похитить критически важную документацию Apple, за которую они потребовали порядка 50 млн долларов. Выплачен ли выкуп неизвестно, все упоминания атаки на Quanta/Apple с сайта REvil вскоре исчезли.

На совести REvil - атака на нью-йоркскую юридическую фирму Grubman, Shire, Meiselas & Sacks, в результате которой вымогатели якобы заполучили важные документы о деятельности бывшего Президента США Дональда Трампа (Donald Trump), а также якобы свидетельства взяточничества в Демократической партии США. Не исключено, что это был блеф, впрочем, администрация Трампа внесла REvil в число террористических группировок.

Клиентами этой же юрфирмы числятся многие поп-звёзды и знаменитости, в том числе Леди Гага, Мадонна, Ники Минаж, Брюс Спрингстин, Кристина Агилера, Идина Менцель и Роберт Де Ниро.

Хакеры утверждали, что смогли украсть более 700 ГБ «скандальной» документации, которую они грозились выставить на торги. За $42 млн они обещали вернуть все документы владельцу. Получили ли они хотя бы часть предполагаемого выкупа, неизвестно.

В начале 2021 г. REvil объявила об успешной атаке на корпорацию Acer, одного из крупнейших в мире производителей электроники. С жертвы потребовали около $50 млн.

В российских банках появляются самообучаемые СХД
ИТ в банках

В июне 2021 г. REvil атаковали компанию Sol Oriens, подрядчика минобороны США, специализирующегося на ядерных технологиях. Примерно в то же время была атакована созданная выходцем из России компания Invenergy LLC, которая специализируется на возобновляемой энергии. Размеры выкупа, которые требовали хакеры в этих случаях, неизвестны, но в случае с Sol Oriens злоумышленники грозились слить конфиденциальные данные «военному ведомству по их выбору».

Наконец, в июле 2021 г. состоялась «суператака» на компанию Kaseya: воспользовавшись уязвимостью в мониторинговом ПО компании, которым пользуются многочисленные провайдеры ИТ-услуг (MSP), злоумышленники парализовали деятельность около полутора тысяч предприятий, а заодно остановили работу 500 супермаркетов шведской торговой сети Coop.

Атака сопровождалась требованием рекордной суммы выкупа. Но для REvil она оказалась последней.

Причиной тому стала другая высокопрофильная атака, совершённая «коллегами по цеху»: группировка DarkSide успешно атаковала один из крупнейших американских трубопроводов Colonial Pipeline, что привело к сбоям в поставках топлива во множестве штатов США и введению там чрезвычайного положения.

После этого деятельность шифровальщиков-вымогателей вышла в политичекую плоскость и стала предметом переговоров между властями США и России, а также конфликтов в киберподполье: несколько крупных хакерских форумов отказались привечать у себя шифровальные группировки.

После того как инфраструктура группировки DarkSide то ли была отключена самими операторами, то ли разгромлена - предположительно, ФБР, - REvil и Avaddon, ещё одна шифрогруппировка, ушли в «закрытый режим» и запретили своим партнерам атаковать целые категории организаций.

В REvil заявили, что больше не будут атаковать «чувствительные» секторы: организации, связанные со здравоохранением, образовательные учреждения и правительственные сети в любых государствах.

14 июля 2021 г. REvil неожиданно закрыла все свои сайты в даркнете и интернете.

Иногда они возвращаются, а иногда и нет

Что произошло сейчас и почему вдруг снова заработали серверы REvil и их сайт Happy Blog в сети Tor?

«Вариантов только три: либо группировка пытается возобновить деятельность, либо серверы включили по ошибке, либо её инфраструктуру контролирует кто-то ещё. Например, ФБР, - предполагает Алексей Водясов, технический директор компании SEC Consult Services компании SEC Consult Services. - Ключи дешифрования клиенты Kaseya получили, но ими круг жертв REvil не ограничивается. Возможно, сейчас кто-то пытается обеспечить возвращение доступа к своим файлам и другим пострадавшим от этой группировки».

На это может указывать тот факт, что сайт REvil в Tor, предназначенный для переговоров жертв со злоумышленниками, в настоящий момент не функционирует.

Остаётся добавить, что самая скандальная кибергруппировка года - DarkSide, стоявшая за атакой на Colonial Pipeline, - уже вернулась под новым названием: BlackMatter. Не исключено, что и в REvil просто ждут, когда уляжется пыль, чтобы возобновить деятельность - под старым названием или под каким-нибудь новым.

Роман Георгиев

Короткая ссылка