Последнее обновление 06.01.2023 — QGames
Банда вымогателей REvil полностью вернулась и снова атакует новых жертв и публикует украденные файлы на сайте утечки данных.
С 2019 года программа-вымогатель REvil, также известная как Sodinokibi, проводит атаки на организации по всему миру, требуя выкуп в размере миллиона долларов за получение ключа дешифрования и предотвращение утечки украденных файлов.
За время своей деятельности банда участвовала в многочисленных атаках на известные компании, включая JBS , Coop , Travelex , GSMLaw , Kenneth Cole , Grupo Fleury и другие.
Акт об исчезновении REvil
REvil закрыл свою инфраструктуру и полностью исчез после их самого большого на данный момент каперса — массированной атаки 2 июля, в результате которой было зашифровано 60 поставщиков управляемых услуг и более 1500 предприятий, использующих уязвимость нулевого дня в платформе удаленного управления Kaseya VSA.
Затем REvil потребовала 50 миллионов долларов за универсальный дешифратор для всех жертв Kaseya, 5 миллионов долларов за расшифровку MSP и выкуп в размере 44 999 долларов за индивидуальные расширения шифрования файлов на затронутых предприятиях.
Это нападение имело настолько широкомасштабные последствия во всем мире, что привлекло к группе все внимание международных правоохранительных органов.
Вероятно, чувствуя давление и опасения по поводу задержания, банда REvil внезапно закрылась 13 июля 2021 года, в результате чего многие жертвы оказались в беде, не имея возможности расшифровать свои файлы.
Последнее, что мы слышали о REvil, это то, что Касея получила универсальный дешифратор, который жертвы могли бесплатно использовать для дешифрования файлов. Неясно, как Касея получила дешифратор, но заявила, что он пришел от «доверенной третьей стороны».
REvil возвращается с новыми атаками
После их закрытия исследователи и правоохранительные органы полагали, что REvil в какой-то момент будет переименован в новую программу-вымогатель.
Однако, к нашему большому удивлению, банда вымогателей REvil на этой неделе вернулась к жизни под тем же именем.
7 сентября, почти через два месяца после их исчезновения, сайты оплаты / переговоров Tor и утечки данных внезапно снова заработали и стали доступными. Через день снова появилась возможность войти на сайт оплаты Tor и договориться с бандой вымогателей.
У всех предыдущих жертв были сброшены таймеры, и оказалось, что их требования выкупа остались такими же, как и при закрытии банды вымогателей в июле.
Однако, не было никаких доказательств новых атак до 9 сентября, когда кто — то загрузил новый образец Revil вымогателей , составленный на 4 сентября на VirusTotal .
Сегодня мы увидели еще одно доказательство их возобновления атак, поскольку банда вымогателей опубликовала скриншоты украденных данных для новой жертвы на своем сайте утечки данных.
Появился новый представитель REvil
В прошлом общественным представителем REvil был злоумышленник, известный как «Неизвестный» или «UNKN», который часто публиковал сообщения на хакерских форумах, чтобы привлечь новых партнеров или опубликовать новости об операции вымогателя.
9 сентября, после возобновления операции с программой-вымогателем, новый представитель по имени REvil начал публиковать сообщения на хакерских форумах, утверждая, что банда ненадолго закрылась после того, как, по их мнению, Unknown был арестован, а серверы были скомпрометированы.
Этот перевод этих сообщений можно прочитать ниже:
«Когда Неизвестный (он же 8800) исчез, мы (кодировщики) сделали резервную копию и выключили все серверы. Думали, что его арестовали. Мы пытались искать, но безуспешно. Мы ждали — он не появился, и мы восстановили все из резервных копий.
После исчезновения UNKWN хостер сообщил нам, что серверы Clearnet были скомпрометированы, и сразу удалил их. Сразу после этого мы выключаем главный сервер с ключами.
Декриптор Kaseya, который якобы был допущен правоохранительными органами, на самом деле был пропущен одним из наших операторов во время генерации дешифратора. «- REvil
На основании этих утверждений, универсальный дешифратор Касеи был получен правоохранительными органами после того, как они получили доступ к некоторым серверам REvil.
Однако многочисленные источники сообщили BleepingComputer, что исчезновение REvil удивило правоохранительные органы не меньше, чем всех остальных.
Беседа между тем, кто считается исследователем безопасности, и REvil рисует другую историю: оператор REvil утверждает, что они просто взяли перерыв.
Хотя мы, возможно, никогда не узнаем настоящую причину исчезновения или как Касея получила ключ дешифрования, наиболее важно знать, что REvil снова нацелен на корпорации по всему миру.
Все сетевые администраторы и специалисты по безопасности, обладая квалифицированными партнерами и способными выполнять изощренные атаки, должны ознакомиться со своими тактиками и методами.
