REvil, mahtava Ransomware-as-a-Service (RaaS) -operaatio, joka tuli julkisuuteen huhtikuun lopussa 2019, on tehnyt paluun. Kuuden kuukauden toimettomuuden jälkeen - Venäjän viranomaisten ratsian jälkeen - lunnasohjelmaryhmä näyttää jatkaneen toimintaansa.
Uusien ransomware-näytteiden analyysi paljastaa, että kehittäjällä on pääsy REvilin lähdekoodiin, mikä tarkoittaa, että uhkaryhmä on ilmaantunut uudelleen. Nämä epäilyt vahvistuivat entisestään, kun ransomware-ryhmän sivusto avautui uudelleen pimeässä verkossa.
Olemme nähneet paljon kiristyshaittaohjelmia ennenkin, mutta mikä tekee REvilistä erityisen? Mitä ryhmän paluu tarkoittaa kybermaailmalle? Otetaan selvää!
Mikä tekee REvil Ransomwaresta ainutlaatuisen?
REvil loi mainetta korkean profiilin ja erittäin tuottoisten kohteiden tavoittelejana ja kohtuuttomien maksujen vaatijana uhreiltaan. Se on myös yksi ensimmäisistä ryhmistä, jotka omaksuivat kaksinkertaisen kiristystaktion, jossa he suodattivat uhrin tiedot ja salasivat ne.
The kaksinkertaisen kiristyksen lunnasohjelma
Järjestelmä antaa REvilille mahdollisuuden vaatia kaksi lunnaita suurista taloudellisista voitoista. Haastattelussa kanssa Venäjän OSINT, ryhmän kehittäjät väittivät tienaavansa yli 100 miljoonaa dollaria yhdessä vuodessa kohdentamalla suuria yrityksiä. Kuitenkin vain murto-osa siitä meni kehittäjille, kun taas tytäryhtiöt saivat leijonanosan.Merkittävimmät REvil Ransomware -hyökkäykset
REvil ransomware -ryhmä on ollut joidenkin takana vuosien 2020-21 suurimmat kiristysohjelmahyökkäykset. Ryhmä nousi ensimmäisen kerran parrasvaloihin vuonna 2020, kun se hyökkäsi Travelexiä vastaan, mikä johti lopulta yrityksen kuolemaan. Seuraavana vuonna REvil alkoi nousta otsikoihin järjestämällä erittäin tuottoisia kyberhyökkäyksiä, jotka häiritsivät julkista infrastruktuuria ja toimitusketjuja.
Ryhmä hyökkäsi sellaisiin yrityksiin kuin Acer, Quanta Computer, JBS Foods ja IT-hallinta- ja ohjelmistotoimittaja Kaseya. Ryhmällä oli todennäköisesti joitain linkkejä pahamaineinen Colonial Pipeline -hyökkäys, joka katkaisi polttoaineen toimitusketjun Yhdysvalloissa.
Kaseya REvil ransomware -hyökkäyksen jälkeen ryhmä vaikeni jonkin aikaa lieventääkseen itselleen tuomaa ei-toivottua huomiota. Paljon spekuloitiin, että ryhmä suunnittelee uutta hyökkäyssarjaa kesällä 2021, mutta lainvalvontaviranomaisilla oli muita suunnitelmia REvilin operaattoreille.
REvil Cyber Gangin tilinpäätöspäivä
Kun pahamaineinen ransomware-jengi nousi esiin uusien hyökkäysten vuoksi, he huomasivat infrastruktuurinsa vaarantuneen ja kääntyivät heitä vastaan. Venäjän valtion turvallisuuspalvelu FSB ilmoitti tammikuussa 2022 häirinneensä ryhmän toimintaa Yhdysvaltojen pyynnöstä.
Useita jengin jäseniä pidätettiin, ja heidän omaisuutensa takavarikoitiin, mukaan lukien miljoonia Yhdysvaltain dollareita, euroja ja ruplaa, sekä 20 luksusautoa ja kryptovaluuttalompakkoa. REvil lunnasohjelmien pidätykset tehtiin myös Itä-Euroopassa, mukaan lukien Puolassa, missä viranomaiset pidättivät Kaseya-hyökkäyksestä epäiltyä.
REvilin kaatuminen keskeisten ryhmän jäsenten pidätysten jälkeen oli luonnollisesti tervetullut turvallisuusyhteisössä, ja monet olettivat uhan menneen kokonaan ohi. Helpotuksen tunne jäi kuitenkin lyhytaikaiseksi, sillä jengi on nyt käynnistänyt toimintansa uudelleen.
REvil Ransomwaren elpyminen
Tutkijat osoitteesta Turvatyöt analysoi maaliskuun haittaohjelmanäytteen ja vihjasi, että jengi saattaa palata toimiin. Tutkijat havaitsivat, että kehittäjällä on todennäköisesti pääsy REvilin käyttämään alkuperäiseen lähdekoodiin.
Myös REvil-vuotosivuston käyttämä verkkotunnus aloitti toimintansa uudelleen, mutta nyt se ohjaa vierailijat uudelle URL-osoitteelle, jossa on lueteltu yli 250 REvil-uhriorganisaatiota. Lista sisältää sekoituksen REvilin vanhoja uhreja ja muutamia uusia kohteita.
Oil India – intialainen öljyalan yritys – oli merkittävin uusista uhreista. Yritys vahvisti tietomurron, ja sille vaadittiin 7,5 miljoonan dollarin lunnaita. Vaikka hyökkäys aiheutti spekulaatioita REvilin jatkavan toimintaansa, epäiltiin silti, oliko tämä kopiointioperaatio.
Ainoa tapa vahvistaa REvilin paluu oli etsiä näyte kiristyshaittaohjelman salauksesta ja katsoa, oliko se käännetty alkuperäisestä lähdekoodista.
Huhtikuun lopulla Avast-tutkija Jakub Kroustek löysi kiristysohjelmasalaajan ja vahvisti sen todellakin olevan REvil-variantti. Esimerkki ei salannut tiedostoja, mutta lisäsi tiedostoihin satunnaisen laajennuksen. Tietoturva-analyytikot sanoivat, että se oli lunnasohjelmien kehittäjien käyttöön ottama bugi.
Useat tietoturva-analyytikot ovat todenneet, että uusi ransomware-näyte liittyy alkuperäiseen lähdekoodiin, mikä tarkoittaa, että jonkun jengin jäsenistä - esimerkiksi ydinkehittäjä - on täytynyt olla mukana.
REvil's Groupin kokoonpano
REvilin uudelleen ilmestyminen väitettyjen pidätysten jälkeen aiemmin tänä vuonna on herättänyt kysymyksiä ryhmän kokoonpanosta ja sen siteistä Venäjän hallitukseen. Joukko hämärtyi onnistuneen Yhdysvaltain diplomatian vuoksi ennen Venäjän ja Ukrainan välisen konfliktin alkamista.
Monien mielestä ryhmän äkillinen elpyminen viittaa siihen, että Venäjä saattaa haluta käyttää sitä voimien kerrannaistekijänä jatkuvissa geopoliittisissa jännitteissä.
Koska henkilöä ei ole vielä tunnistettu, on epäselvää, kuka on operaation takana. Ovatko nämä samat henkilöt, jotka johtivat aiempia operaatioita, vai onko uusi ryhmä ottanut vallan?
Hallitsevan ryhmän kokoonpano on edelleen mysteeri. Mutta kun otetaan huomioon aiemmin tänä vuonna tehdyt pidätykset, on todennäköistä, että ryhmässä saattaa olla muutamia toimijoita, jotka eivät aiemmin olleet osa REviliä.
Joillekin analyytikoille ei ole harvinaista, että kiristysohjelmaryhmät kaatuvat ja ilmestyvät uudelleen muissa muodoissa. Ei kuitenkaan voida kokonaan sulkea pois mahdollisuutta, että joku hyödyntää brändin mainetta saadakseen jalansijaa.
Suojaus REvil-ransomware-hyökkäyksiä vastaan
REvilin kuninkaan pidättäminen oli suuri päivä kyberturvallisuudelle, varsinkin kun kiristysohjelmaryhmät hyökkäsivät kaikkeen julkisista laitoksista sairaaloihin ja kouluihin. Mutta kuten mikä tahansa verkkorikollisen toiminnan häiriö havaitsi, se ei merkinnyt kiristysohjelmapandemian loppua.
REvilin tapauksessa vaarana on kaksinkertainen kiristysjärjestelmä, jossa ryhmä yrittää myydä tietojasi ja tahrata brändin imagoa ja asiakassuhteita.
Yleensä hyvä strategia tällaisten hyökkäysten torjumiseksi on suojata verkkosi ja suorittaa simulaatiotestejä. Kiristysohjelmahyökkäys johtuu usein korjaamattomista haavoittuvuuksista, ja simulaatiohyökkäykset voivat auttaa sinua tunnistamaan ne.
Toinen tärkeä lieventävä strategia on varmistaa kaikki ennen kuin he pääsevät verkkoosi. Sellaisenaan nollaluottamusstrategia voi olla hyödyllinen, koska se toimii perusperiaatteella, että ei koskaan luota keneenkään ja jokainen käyttäjä ja laite tarkistetaan ennen kuin heille myönnetään pääsy verkkoresursseihin.
