REvil, hirmuäratav Ransomware-as-a-Service (RaaS) operatsioon, mis tuli esmakordselt päevavalgele 2019. aasta aprilli lõpus, on tagasi tulnud. Pärast kuuekuulist tegevusetust – pärast Venemaa võimude haarangut – näib, et lunavaragrupp on tegevust jätkanud.
Uute lunavaranäidiste analüüs paljastab, et arendajal on juurdepääs REvili lähtekoodile, mis tähendab, et ohugrupp on uuesti esile kerkinud. Need kahtlused tugevnesid veelgi, kui lunavarameeskonna sait pimedas veebis uuesti käivitati.
Oleme varem näinud palju lunavaragruppe, kuid mis teeb REvili eriliseks? Mida tähendab grupi tagasitulek kübermaailma jaoks? Uurime välja!
Mis teeb REvil Ransomware'i ainulaadseks?
REvil ehitas endale maine kõrgetasemeliste ja väga tulusate sihtmärkide poole püüdlejana ning ohvritelt üüratuid makseid nõudes. See on ka üks esimesi rühmitusi, kes võttis kasutusele topeltväljapressimise taktika, mille käigus nad ohvri andmed välja filtreerisid ja need krüpteerisid.
The topeltväljapressimise lunavara skeem võimaldab REvil nõuda suure rahalise kasu saamiseks kahte lunaraha. Intervjuus koos
Vene OSINT, väitsid grupi arendajad, et teenisid suurettevõtteid sihtides ühe aastaga rohkem kui 100 miljonit dollarit. Kuid vaid murdosa sellest läks arendajatele, samas kui sidusettevõtted said lõviosa.Peamised REvili lunavararünnakud
REvili lunavaragrupp on olnud mõne taga suurimad lunavararünnakud aastatel 2020-21. Rühm tõusis esmakordselt rambivalgusesse 2020. aastal, kui ründas Travelexi, mis viis lõpuks ettevõtte surmani. Järgmisel aastal hakkas REvil pealkirju tegema, korraldades väga tulusaid küberrünnakuid, mis häirisid avalikku infrastruktuuri ja tarneahelaid.
Rühm ründas selliseid ettevõtteid nagu Acer, Quanta Computer, JBS Foods ning IT-halduse ja tarkvara pakkuja Kaseya. Tõenäoliselt oli rühmal mõned lingid kurikuulus koloniaaljuhtme rünnak, mis katkestas USA kütuse tarneahela.
Pärast Kaseya REvili lunavararünnakut vaikis grupp mõnda aega, et leevendada soovimatut tähelepanu, mille ta endale oli toonud. Palju spekuleeriti, et rühmitus kavandas 2021. aasta suvel uut rünnakute seeriat, kuid korrakaitsjatel olid REvili operaatorite jaoks teised plaanid.
Küberjõugu REvili arvestuspäev
Kui kurikuulus lunavarajõuk tõusis uute rünnakute jaoks esile, avastasid nad, et nende infrastruktuur on ohus ja pöördus nende vastu. 2022. aasta jaanuaris teatas Venemaa riigi julgeolekuteenistus FSB, et katkestas USA palvel rühmituse tegevuse.
Mitmed jõuguliikmed arreteeriti ja nende varad, sealhulgas miljonid USA dollarid, eurod ja rublad, ning 20 luksusautot ja krüptoraha rahakotti arestiti. REvili lunavara arreteeriti ka Ida-Euroopas, sealhulgas Poolas, kus võimud pidasid Kaseya rünnakus kahtlustatavat kinni.
REvili kokkuvarisemine pärast grupi võtmeliikmete vahistamist oli julgeolekuringkonnas loomulikult teretulnud ja paljud eeldasid, et oht oli täielikult möödas. Kergendustunne jäi aga üürikeseks, sest jõuk on nüüdseks oma tegevust taasalustanud.
REvili lunavara taassünd
Uurijad alates Turvatööd analüüsis märtsist pärit pahavara näidist ja andis mõista, et jõuk võib taas tegutseda. Uurijad leidsid, et arendajal on tõenäoliselt juurdepääs REvili kasutatud algsele lähtekoodile.
REvili lekkeveebisaidil kasutatav domeen hakkas samuti uuesti tööle, kuid nüüd suunab see külastajad ümber uuele URL-ile, kus on loetletud üle 250 REvili ohvriorganisatsiooni. Nimekiri sisaldab segu REvili vanu ohvreid ja mõnda uut sihtmärki.
Oil India – India naftaäriettevõte – oli uutest ohvritest kõige silmapaistvam. Ettevõte kinnitas andmetega seotud rikkumist ja talle esitati 7,5 miljoni dollari suurune lunarahanõue. Kuigi rünnak tekitas spekulatsioone, et REvili jätkab tegevust, tekkis endiselt küsimusi, kas tegemist oli kopeerimisoperatsiooniga.
Ainus viis REvili naasmise kinnitamiseks oli leida lunavara operatsiooni krüpteerija näidis ja vaadata, kas see on koostatud algsest lähtekoodist.
Aprilli lõpus avastas Avasti uurija Jakub Kroustek lunavara krüptija ja kinnitas, et see on tõepoolest REvili variant. Näidis faile ei krüpteerinud, vaid lisas failidele juhusliku laiendi. Turvaanalüütikud ütlesid, et see oli lunavara arendajate poolt sisse toodud viga.
Mitmed turbeanalüütikud on väitnud, et uus lunavaranäidis seostub algse lähtekoodiga, mis tähendab, et keegi rühmast – näiteks põhiarendaja – pidi olema kaasatud.
REvil's Groupi koosseis
REvili taasilmumine pärast väidetavaid vahistamisi selle aasta alguses on tekitanud küsimusi rühmituse koosseisu ja sidemete kohta Venemaa valitsusega. Jõuk läks pimedaks tänu edukale USA diplomaatiale enne Venemaa-Ukraina konflikti algust.
Paljude jaoks viitab rühmituse äkiline taastulemine sellele, et Venemaa võib soovida kasutada seda jätkuvates geopoliitilistes pingetes jõu kordistajana.
Kuna ühtegi isikut pole veel tuvastatud, pole selge, kes on operatsiooni taga. Kas need on samad isikud, kes juhtisid eelmisi operatsioone või on üle võtnud uus rühm?
Kontrollrühma koosseis on endiselt mõistatus. Arvestades aga selle aasta alguses toimunud vahistamisi, on tõenäoline, et grupil võib olla paar operaatorit, kes varem REvilis ei olnud.
Mõnede analüütikute jaoks ei ole haruldane, et lunavararühmad kaovad ja ilmuvad uuesti muul kujul. Siiski ei saa täielikult välistada võimalust, et keegi kasutab kaubamärgi mainet oma jalgealuseks.
Kaitse REvil lunavara rünnakute eest
REvili kuninga vahistamine oli küberturvalisuse jaoks suur päev, eriti kui lunavararühmad olid sihiks kõike alates avalikest asutustest kuni haiglate ja koolideni. Kuid nagu näha võrgukuritegevuse katkemise puhul, ei tähendanud see lunavarapandeemia lõppu.
REvili puhul on ohuks topeltväljapressimise skeem, mille käigus rühmitus üritaks müüa teie andmeid ning rikkuda kaubamärgi mainet ja kliendisuhteid.
Üldiselt on selliste rünnakute vastu võitlemiseks hea strateegia oma võrgu turvalisus ja simulatsioonitestide läbiviimine. Lunavararünnak toimub sageli parandamata haavatavuste tõttu ja simulatsioonirünnakud aitavad teil neid tuvastada.
Teine oluline leevendamisstrateegia on kontrollida kõiki, enne kui nad saavad teie võrgule juurdepääsu. Sellisena võib null-usaldusstrateegia olla kasulik, kuna see toimib põhiprintsiibil mitte kunagi kedagi usaldada ning kontrollida iga kasutajat ja seadet enne võrguressurssidele juurdepääsu andmist.
