REvil, impozantní operace Ransomware-as-a-Service (RaaS), která poprvé vyšla najevo na konci dubna 2019, se vrátila. Po šesti měsících nečinnosti – po nájezdu ruských úřadů – se zdá, že skupina ransomwaru obnovila provoz.
Analýza nových vzorků ransomwaru odhaluje, že vývojář má přístup ke zdrojovému kódu REvil, což znamená, že skupina hrozeb se znovu objevila. Tato podezření byla dále posílena, když byly stránky ransomwaru znovu spuštěny na temném webu.
Už jsme viděli spoustu ransomwarových skupin, ale čím je REvil výjimečný? Co znamená návrat skupiny pro kybernetický svět? Pojďme to zjistit!
Čím je REvil Ransomware jedinečný?
REvil si vybudoval reputaci tím, že šel po vysoce profilovaných a vysoce lukrativních cílech a požadoval od svých obětí přemrštěné platby. Je to také jedna z prvních skupin, která přijala taktiku dvojitého vydírání, při níž exfiltrovala data oběti a zašifrovala je.
The dvojité vydírání ransomware schéma umožňuje REvilu požadovat dvě výkupné za vysoké finanční zisky. V rozhovoru s
ruský OSINT, vývojáři skupiny tvrdili, že vydělali více než 100 milionů dolarů za jeden rok zacílením na velké podniky. K vývojářům však připadl jen zlomek, přičemž lví podíl získaly přidružené společnosti.Hlavní útoky REvil Ransomware
Za některými z nich stojí skupina REvil ransomware největší ransomwarové útoky v letech 2020-21. Skupina se poprvé dostala do centra pozornosti v roce 2020, kdy zaútočila na Travelex, což nakonec vedlo k zániku společnosti. Následující rok se REvil začal dostávat na titulní stránky tím, že uspořádal vysoce lukrativní kybernetické útoky, které narušily veřejnou infrastrukturu a dodavatelské řetězce.
Skupina napadla společnosti jako Acer, Quanta Computer, JBS Foods a poskytovatele IT managementu a softwaru Kaseya. Skupina pravděpodobně měla nějaké vazby na notoricky známý útok na Colonial Pipeline, která narušila řetězec dodávek paliva v USA.
Po útoku ransomwaru Kaseya REvil se skupina na nějakou dobu odmlčela, aby zmírnila nežádoucí pozornost, kterou na sebe vyvolala. Hodně se spekulovalo o tom, že skupina plánuje novou sérii útoků v létě 2021, ale orgány činné v trestním řízení měly s operátory REvilu jiné plány.
Den zúčtování pro REvil Cyber Gang
Když se notoricky známý ransomwarový gang znovu objevil pro nové útoky, zjistili, že jejich infrastruktura je kompromitována, a obrátili se proti nim. V lednu 2022 ruská státní bezpečnostní služba FSB oznámila, že na žádost Spojených států narušila činnost skupiny.
Několik členů gangu bylo zatčeno a jejich majetek byl zabaven, včetně milionů amerických dolarů, eur a rublů, stejně jako 20 luxusních aut a kryptoměnových peněženek. Ransomware REvil byl zatčen také ve východní Evropě, včetně Polska, kde úřady zadržely podezřelého z útoku na Kaseya.
Pád REvilu po zatčení klíčových členů skupiny byl v bezpečnostní komunitě přirozeně vítán a mnozí předpokládali, že hrozba zcela pominula. Pocit úlevy však neměl dlouhého trvání, protože gang nyní znovu zahájil svou činnost.
Znovuzrození REvil Ransomware
Výzkumníci z Secureworks analyzoval vzorek malwaru z března a naznačil, že gang by mohl být zpět v akci. Výzkumníci zjistili, že vývojář má pravděpodobně přístup k původnímu zdrojovému kódu používanému REvilem.
Doména používaná webem REvil leak také začala znovu fungovat, ale nyní přesměrovává návštěvníky na novou URL, kde je uvedeno více než 250 organizací obětí REvil. Seznam obsahuje mix starých obětí REvilu a několik nových cílů.
Oil India – indická ropná obchodní společnost – byla nejvýznamnější z nových obětí. Společnost potvrdila únik dat a obdržela požadavek na výkupné ve výši 7,5 milionu dolarů. Zatímco útok vyvolal spekulace, že REvil obnovuje operace, stále existovaly otázky, zda se nejedná o kopírovací operaci.
Jediným způsobem, jak potvrdit návrat REvilu, bylo najít vzorek šifrovacího zařízení operace ransomwaru a zjistit, zda byl zkompilován z původního zdrojového kódu.
Koncem dubna výzkumník Avastu Jakub Kroustek objevil šifrovací nástroj ransomwaru a potvrdil, že se skutečně jedná o variantu REvil. Ukázka nešifrovala soubory, ale přidala do souborů náhodnou příponu. Bezpečnostní analytici uvedli, že jde o chybu, kterou zavedli vývojáři ransomwaru.
Několik bezpečnostních analytiků uvedlo, že nový vzorek ransomwaru souvisí s původním zdrojovým kódem, což znamená, že do toho musel být zapojen někdo z gangu – například hlavní vývojář.
Složení skupiny REvil's Group
Znovuobjevení skupiny REvil po údajném zatčení na začátku tohoto roku vyvolalo otázky ohledně složení skupiny a jejích vazeb na ruskou vládu. Gang potemněl kvůli úspěšné americké diplomacii před začátkem rusko-ukrajinského konfliktu.
Náhlé oživení skupiny pro mnohé naznačuje, že Rusko ji může chtít použít jako multiplikátor síly v pokračujícím geopolitickém napětí.
Protože zatím nebyl identifikován žádný jedinec, není jasné, kdo za operací stojí. Jsou to stejní jednotlivci, kteří vedli předchozí operace, nebo je převzala nová skupina?
Složení kontrolní skupiny je stále záhadou. Ale vzhledem k zatčením na začátku tohoto roku je pravděpodobné, že skupina může mít několik operátorů, kteří dříve nebyli součástí REvilu.
Pro některé analytiky není neobvyklé, že skupiny ransomwaru zaniknou a znovu se objeví v jiných formách. Nelze však zcela vyloučit možnost, že někdo využije pověst značky, aby se prosadil.
Ochrana proti útokům REvil Ransomware
Zatčení krále REvilu bylo velkým dnem pro kybernetickou bezpečnost, zvláště když se skupiny ransomwaru zaměřovaly na vše od veřejných institucí po nemocnice a školy. Ale jak je vidět z jakéhokoli narušení online kriminální činnosti, neznamenalo to konec pandemie ransomwaru.
Nebezpečí v případě REvil je schéma dvojitého vydírání, kdy by se skupina pokusila prodat vaše data a pošpinit image značky a vztahy se zákazníky.
Obecně platí, že dobrou strategií, jak takovým útokům čelit, je zabezpečit vaši síť a provést simulační testy. K ransomwarovému útoku často dochází kvůli neopraveným zranitelnostem a simulační útoky vám mohou pomoci je identifikovat.
Další klíčovou strategií zmírňování je ověřit každého, než bude mít přístup k vaší síti. Strategie nulové důvěry jako taková může být prospěšná, protože funguje na základním principu nikdy nikomu nedůvěřovat a před udělením přístupu k síťovým zdrojům ověřit každého uživatele a zařízení.
