РЕвил, страшна Рансомваре-ас-а-Сервице (РааС) операција која је први пут изашла на видело крајем априла 2019. године, вратила се. Након шест месеци неактивности — након напада руских власти — група за рансомваре је изгледа наставила са радом.
Анализа нових узорака рансомвера открива да програмер има приступ РЕвиловом изворном коду, што значи да се група претњи поново појавила. Ове сумње су додатно појачане када је сајт екипе за рансомваре поново покренут на мрачном вебу.
Видели смо много група рансомваре-а раније, али шта РЕвил чини посебним? Шта повратак групе значи за сајбер свет? Хајде да сазнамо!
Шта РЕвил Рансомваре чини јединственим?
РЕвил је изградио репутацију да јури високопрофилне и високо уносне мете и захтева превисоке исплате од својих жртава. То је такође једна од првих група која је усвојила тактику двоструке изнуде у којој су ексфилтрирали податке жртве и шифровали их.
Тхе двострука изнуда рансомваре шема омогућава РЕвилу да тражи две откупнине за велике финансијске добити. У интервјуу са
Руссиан ОСИНТ, програмери групе су тврдили да су зарадили више од 100 милиона долара у једној години циљајући велика предузећа. Међутим, само делић је отишао програмерима, док су придружене компаније добиле лавовски удео.Главни РЕвил Рансомваре напади
Група РЕвил рансомваре-а стоји иза неких од њих највећи напади рансомвера у 2020-21. Група је први пут дошла у центар пажње 2020. године када је напала Травелек, што је на крају довело до пропасти компаније. Следеће године, РЕвил је почео да излази на насловне стране изводећи високо уносне сајбер нападе који су пореметили јавну инфраструктуру и ланце снабдевања.
Група је напала компаније као што су Ацер, Куанта Цомпутер, ЈБС Фоодс и добављача ИТ менаџмента и софтвера Касеиа. Група је вероватно имала неке везе са озлоглашени напад на колонијални гасовод, што је пореметило ланац снабдевања горивом у САД.
Након напада рансомваре-а Касеиа РЕвил, група је ћутала неко време како би ублажила нежељену пажњу коју је привукла себи. Било је много спекулација да група планира нову серију напада у лето 2021. године, али су органи за спровођење закона имали друге планове за РЕвилове оператере.
Дан обрачуна за ревил сајбер банду
Како се озлоглашена рансомваре банда поново појавила због нових напада, открили су да им је инфраструктура угрожена и окренули се против њих. У јануару 2022, руска служба државне безбедности ФСБ саопштила је да је прекинула активности групе на захтев Сједињених Држава.
Неколико чланова банде је ухапшено, а њихова имовина је заплењена, укључујући милионе америчких долара, евра и рубаља, као и 20 луксузних аутомобила и новчанике са криптовалутама. РЕвил рансомваре хапшења су такође извршена у источној Европи, укључујући Пољску, где су власти држале осумњиченог за напад Касеиа.
Пропаст РЕвила након хапшења кључних чланова групе природно је поздрављена у безбедносној заједници, а многи су претпоставили да је претња у потпуности прошла. Међутим, осећај олакшања био је кратког даха јер је банда поново почела са радом.
Поновна појава РЕвил Рансомваре-а
Истраживачи из Сецуреворкс анализирао узорак малвера из марта и наговестио да би се банда могла вратити у акцију. Истраживачи су открили да програмер вероватно има приступ оригиналном изворном коду који користи РЕвил.
Домен који користи РЕвил веб-сајт за цурење такође је поново почео да ради, али сада преусмерава посетиоце на нови УРЛ где је наведено више од 250 организација жртава РЕвил-а. Листа садржи мешавину старих РЕвилових жртава и неколико нових мета.
Оил Индиа — индијска нафтна компанија — била је најистакнутија међу новим жртвама. Компанија је потврдила кршење података и добила је захтев за откупнину од 7,5 милиона долара. Иако је напад изазвао спекулације да РЕвил наставља са радом, и даље је било питања да ли је ово била операција копирања.
Једини начин да се потврди повратак РЕвил-а био је проналажење узорка енкриптора операције рансомвера и да се види да ли је компајлиран из оригиналног изворног кода.
Крајем априла, истраживач Аваста Јакуб Кроустек открио је енкриптор рансомваре-а и потврдио да је то заиста РЕвил варијанта. Узорак није шифровао датотеке, већ је додао насумично проширење датотекама. Безбедносни аналитичари кажу да је то грешка коју су увели програмери рансомвера.
Више безбедносних аналитичара је изјавило да је нови узорак рансомваре-а повезан са оригиналним изворним кодом, што значи да је неко из групе — на пример, главни програмер — морао бити умешан.
Састав РЕвил'с Гроуп
Поновно појављивање РЕвил-а након наводних хапшења раније ове године покренуло је питања о саставу групе и њеним везама са руском владом. Банда је пала у мрак због успешне америчке дипломатије пре почетка сукоба Русије и Украјине.
За многе, изненадни оживљавање групе сугерише да би Русија можда желела да је искористи као мултипликатор силе у текућим геополитичким тензијама.
Пошто још није идентификована ниједна особа, нејасно је ко стоји иза операције. Да ли су то исти појединци који су водили претходне операције или је то преузела нова група?
Састав контролне групе је још увек мистерија. Али с обзиром на хапшења раније ове године, вероватно је да ће група можда имати неколико оператера који раније нису били део РЕвил-а.
За неке аналитичаре, није неуобичајено да групе рансомвера опадају и поново се појављују у другим облицима. Међутим, не може се у потпуности елиминисати могућност да неко искористи репутацију бренда да би направио упориште.
Заштита од РЕвил Рансомваре напада
Хапшење РЕвиловог краља био је велики дан за сајбер безбедност, посебно када су групе за рансомваре циљале све, од јавних институција до болница и школа. Али, као што се види са било каквим поремећајем у онлајн криминалним активностима, то није значило крај пандемије рансомвера.
Опасност у случају РЕвил-а је шема двоструке изнуде у којој би група покушала да прода ваше податке и наруши имиџ бренда и односе са купцима.
Уопштено говорећи, добра стратегија за сузбијање таквих напада је да обезбедите своју мрежу и спроведете симулационе тестове. До напада рансомваре-а често долази због незакрпљених рањивости, а симулацијски напади могу вам помоћи да их идентификујете.
Још једна кључна стратегија за ублажавање последица је верификација свих пре него што могу да приступе вашој мрежи. Као таква, стратегија нултог поверења може бити корисна јер функционише на основном принципу да се никада никоме не верује и да се верификује сваки корисник и уређај пре него што им се одобри приступ мрежним ресурсима.