Ушла в подполье: куда и почему пропала из поля зрения REvil

0 13

Ушла в подполье: куда и почему пропала из поля зрения REvil

Известная крупными взломами и ненасытными аппетитами хакерская группировка REvil ушла в подполье. Отметим, только в прошлом году вымогатели смогли заработать более 100 миллионов долларов. Киберполиция США считает, что эти мошенники связаны с Россией. К такому выводу эксперты пришли потому, что переписку хакеры вели на русском языке. 

Интересно то, что REvil покинула даркнет буквально через пару дней после разговора Джо Байдена с Владимиром Путиным. Почему киберпреступная группировка решила исчезнуть, временно это или навсегда и прослеживается ли тут какие-то договоренности Вашингтона с Кремлем – будем разбираться в этом материале.  

Ушла в подполье: куда и почему пропала из поля зрения REvil

Тайное исчезновение

В ночь на 13 июля в даркнете перестали открываться веб-ресурсы, связанные с киберпреступной группой REvil. Напомним, этим вымогатели специализировались на коммерческих взломах. Они запускали вирусы и блокировали устройства, а потом требовали выкуп за расшифровщик или сохранение важной информации. В 2021 году мошенники уже успели атаковать десятки тысяч компаний на Западе (среди них компания JBS из Бразилии и американский нефтепровод Colonial Pipeline).

Первыми на пропажу REvil обратили внимание эксперты по кибербезопасности из США, а также западная пресса (CNBC, NYT). Журналисты написали, что во вторник «посыпались» все интернет-площадки хакерской группы. При переходе на веб-ресурсы всплывало сообщение «Сервер с указанным именем хоста не найден». Помимо этого, перестал работать общедоступный блог, где мошенники хвастались полученной от цифрового вымогательства прибылью, выносили на всеобщее обозрение секретную информацию, за которую компании не хотели платить деньги, а также публиковали список будущих жертв.

Ушла в подполье: куда и почему пропала из поля зрения REvil

Также стало известно, что учетная запись участника REvil на теневых форумах заблокирована. По словам представителя Group-IB Олега Скулкина, такое происходит в тех случаях, когда есть большая вероятность задержания хакера правоохранительными органами. И еще – на связь перестала выходить «техподдержка» REvil, о чем сообщили на одном из тематических форумов. Некоторые эксперты считают, что уход киберпреступной группировки в подполье не был спланирован заранее. Это, скорее, спонтанное решение, так как у хакеров осталось несколько незавершенных дел. Окончательно причину исчезновения REvil не выяснили, однако это произошло после телефонных переговоров Вашингтона и Кремля. Не исключено, что Байден попросил Путина вмешаться и пресечь работу местных хакеров, которые принесли уже массу неприятностей.

Мошенники с российскими корнями

Киберпреступная группировка REvil, которая также известна как Sodinokibi, начала деятельность с 2019 года. Хакеры запускают через своих партнеров вирус-шифровальщик, чтобы потом заниматься вымогательствам. По результатам исследования специалистов из Лаборатории Касперского, около 60-65% от полученной суммы аферисты «отстегивают» своим коллегам по даркнету. Также REvil прославилась тем, что требует от своих жертв огромные выкупы. Так, в прошлом году благодаря вымогательству контора заработала более 100 миллионов долларов.

Ушла в подполье: куда и почему пропала из поля зрения REvil

В основном злоумышленники ориентируются на технологических гигантов (около 30%), финансовые компании (14%), юридические организации (9%), представителей сферы услуг (7%), телекоммуникационные фирмы, IT-компании и пр.

Даже в 2021 году REvil успела нанести несколько мощных атак. В частности, в начале весны она взломала системы Acer, а спустя несколько месяцев украла у Quanta Computer важные файлы. По заявлению хакеров, это чертежи техники Apple. Киберпреступники выставили компаниям счет – по 50 миллионов долларов с каждой.

Представитель REvil в интервью Russian OSINT рассказал об используемом алгоритме работы. Хакеры предоставляют партнерам вирус-вымогатель и дешифровщик для «лечения», а затем участвуют в переговорах о сумме выкупа с жертвой. «Наши партнеры занимаются заражением компьютерной сети, скачиванием важных данных и уничтожением бэкапов. Остальное мы берем на себя», – отметили в REvil. По заявлению киберпреступников, не менее 30-40% жертв соглашаются оплатить выкуп, так как не хотят, чтобы об атаке стало известно окружающим.

Ушла в подполье: куда и почему пропала из поля зрения REvil

Аналитик Никита Комаров, который расследовал атаку REvil на «Инфосистемы Джет», отмечает скрупулезный подход хакеров к выбору потенциальных жертв. По его словам, в первую очередь злоумышленников интересуют большие компании, потому что они способны заплатить за информацию миллионы долларов.

В прошлом месяце правоохранительные органы обвинили киберпреступников в атаке на JBS. Производитель мяса был вынужден частично приостановить технологический процесс и заплатить мошенникам 11 миллионов долларов. Эксперты из США неоднократно говорили о том, что REvil сотрудничает с российскими агентами и вообще действует в интересах РФ. 

Ко мнению о том, что группировка REvil родом из России, американцы пришли из-за того, что жулики переписывались на русском, а также использовали в кодах своего софта характерные элементы. Как отметил представитель компании SafeNet Игорь Бедеров, преступники хитры. «В частности, на международном уровне часто встречаются злоумышленники, которые специально говорят на иностранном, чтобы не попасться на прослушке», – подчеркнул он. Бедеров говорит, что если потенциальные жертвы используют русскоязычную раскладку клавиатуры, в REvil не станут атаковать. По мнению экспертов, они просто не хотят попадать в поле зрения местной полиции.

Политическая подоплека

Буквально месяц назад киберпреступники атаковали Kaseya – американскую компанию, удаленно предоставляющую услуги в сфере IT. Хакеры провели  масштабную работу и обнаружили уязвимость в системе защиты. Нужно отдать должное, специалисты по безопасности предупреждали компанию, что есть несколько проблем. Часть Kaseya устранила, а часть оставила на потом. Этим и воспользовались вымогатели. Из-за взлома пострадало более 1 000 клиентов компании. И что самое интересное, в числе пострадавших не оказалось российских организаций.

Ушла в подполье: куда и почему пропала из поля зрения REvil

А недавно состоялся телефонный разговор между Путиным и Байденом. Американский президент уделил много внимания «хакерским атакам, которые исходят от российских злоумышленников». Он отметил, что в РФ должны предпринять меры и помешать местным киберпреступникам. Хотя, по словам представителей Белого дома, правительство США не прослеживает связь между атакой на Kaseya и российскими властями. И хотя эксперты уверены в том, что REvil «прописана» в РФ, они утверждают:  хакеры обзавелись связями по всему миру. «Байден четко сказал российскому президенту, что если он не сможет угомонить местных злоумышленников, американскому правительству придется принимать меры со своей стороны», – подчеркнули в Белом доме.

Версии исчезновения REvil

The New York Times одним из первых опубликовал информацию об исчезновении с просторов даркнета REvil. Более того, у СМИ есть несколько версий того, что могло случиться. Как вариант, сайт киберпреступников заблокировали спецслужбы США. Джо Байден ранее говорил о том, что в силах отключить серверы российских хакеров. Однако есть и другая версия. Не исключено, что REvil приказали уйти в тень спецслужбы РФ. Хотя представитель центра SafeNet Игорь Бедеров считает, что это маловероятно. В стране до сих пор отсутствует необходимая инфраструктура для противодействия аферистам, они работают безнаказанно. «В Штатах считают, что в технологическом аспекте Российская Федерация не проигрывает США. На самом деле, это ошибочное мнение», – подчеркнул Бедеров.

Ушла в подполье: куда и почему пропала из поля зрения REvil

Ну, и нельзя сбрасывать со счетов еще одну версию, согласно которой киберпреступники сами решили уйти в подполье, так как в последнее время к ним приковано слишком много внимания. В частности, об этом заявил Комаров из «Инфосистемы Джет». По его словам, группа мошенников вполне могла пойти по следам своих предшественников. «Такие структуры со временем покидают полупубличное пространство или скрываются в тень», – сказал Скулкин из Group-IB.

Бедеров уверен в том, что для американцев уничтожение REvil – это уже цель политического значения. В Штатах не откажутся от этой идеи в ближайшее время, поэтому самым мудрым решением со стороны преступников было временно залечь на дно, а потом собраться снова, но уже под новым брендом, с обновленным ПО.

Источник

Оставьте ответ

Ваш электронный адрес не будет опубликован.