Поделиться
Знаменитые «русские хакеры» восстали из пепла и продолжили громить интернет
Печально известная хакерская группировка REvil возобновила действие своей инфраструктуры, а также обновила свои инструменты. Эксперты указывают, что новые версии шифровальщика скомпилированы из исходников, доступ к которым был только у непосредственных операторов REvil.
Давно не виделись
Известная шифровальная группировка REvil вернулась к активной деятельности: инфраструктура в даркнете снова функционирует, кроме того, обнаружены новые версии вредоносного ПО, которым участники REvil пользовались перед приостановкой атак.
Ранее сообщалось, что ключевые члены группировки с российскими участниками были арестованы в январе 2022 г. силами Федеральной службы безопасности России (ФСБ). В январе 2022 г. CNews писал, что среди членов группировки REvil оказался владелец ресторана Vincent, расположенного на Театральной площади Санкт-Петербурга.
Шифровальщики REvil задействуют многие сторонние группировки. Их атаки, как правило, касаются взломанных исполняемых файлов. Сейчас же, как выяснили эксперты по информбезопасности, речь идет о новой версии флагманской разработки REvil, скомпилированной из исходного кода. Доступ к нему всегда был только у операторов самой REvil.
Сэмпл нового вредоноса удалось перехватить эксперту компании Avast Якубу Крустеку (Jakub Kroustek). Он подтвердил свою принадлежность к REvil.
Коллега Крустека по цеху, эксперт R3MRUM отметил в «Твиттере», что версия вредоноса сменилась на 1.0, но это точно новый вариант версии 2.08, которой REvil пользовались непосредственно перед приостановкой деятельности.
Исполнительный директор Advanced Intel Виталий Кремец произвел реверс-инженерию перехваченного сэмпла и подтвердил в разговоре с изданием Bleeping Computer, что он был скомпилирован 26 апреля 2022 г. из исходного кода.
По данным Кремеца, некоторые особенности исходного кода указывают на то, что новая версия специально создана для узкотаргетированных атак. Идея, по-видимому, состоит в том, чтобы шифровальщик срабатывал только в определенных средах и игнорировал другие.
Впрочем, при тестировании в редакции Bleeping Computer, новая версия шифровальщика REvil ничего не зашифровала, но зато сгенерировала сообщение с требованием выкупа идентичное тем, что появлялись на зашифрованных системах в прошлом.
Послужной список
Русскоязычная группировка REvil широко известна масштабными кибератаками на крупный бизнес по всему миру (кроме России). Среди ее жертв — Quanta, тайваньский поставщик оборудования для дата-центров Apple, юридическая фирма Grubman, Shire, Meiselas & Sacks, клиентами которой являются многие политики и звезды шоу-бизнеса, корпорация Acer, один из крупнейших в мире производителей электроники, подрядчик минобороны США по линии ядерных технологий SolOriens.
Звездным часом группировки стала суператака на Kaseya. Воспользовавшись уязвимостью в мониторинговом ПО компании, которое задействуют многочисленные провайдеры ИТ-услуг (MSP), злоумышленники парализовали деятельность около полутора тысяч предприятий, а заодно остановили работу 500 супермаркетов шведской торговой сети Coop.
Атака сопровождалась требованием рекордной суммы выкупа. Но для REvil она оказалась последней. Практически в то же время группировка DarkSide успешно атаковала один из крупнейших американских трубопроводов Colonial Pipeline, что привело к сбоям в поставках топлива во множестве штатов США и введению там чрезвычайного положения.
После этого деятельность шифровальщиков-вымогателей вышла в политическую плоскость и стала предметом переговоров между властями США и России. Спустя несколько дней после этих переговоров REvil отключили свои серверы и сайты до сентября 2021 г., когда состоялась первая попытка вернуться хакеров в строй.
BleepingComputer со ссылкой на экспертов по безопасности и разведке киберугроз утверждает, что за нынешним перезапуском REvil стоит один из его оригинальных разработчиков.
«Подобные операции требуют глубокой проработки, подготовки и, нередко, обмена оперативными данными с другими странами, — говорит Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — Тем не менее, иногда бывает сложно доказать прямую связь того или иного лица с кибергруппировкой, так что не исключено, что кто-то со знанием технологий и контактами в криминальных киберкругах избежал возмездия и пытается перезапустить бренд заново. Также нельзя исключать, что под шапкой раскрученной группировки могут пытаться работать совсем другие игроки, в том числе и представители спецслужб разных стран. На это, кстати, косвенно указывает то, что перезапуск REvil оказался избыточно публичным для кибергруппировки, для которой нормальное поведение — пытаться пореже попадать на радары».
Короткая ссылка
