REvil Ransomware

Το REvil είναι η συνήθως χρησιμοποιούμενη λαβή για μια ομάδα ηθοποιών απειλών που ασχολείται κυρίως με ransomware. Η ίδια εγκληματική στολή μερικές φορές αναφέρεται ως Sodinokibi, μετά το όνομα ενός άλλου στελέχους ransomware που χρησιμοποιήθηκε αρχικά από την ομάδα.

Το REvil είναι μια ιδιωτική επιχείρηση που διευθύνεται από εγκληματίες στον κυβερνοχώρο και λειτουργούν δαχτυλίδια ransomware-as-a-service. Τα συνδεδεμένα μέρη μπορούν, κατά μια έννοια, να νοικιάσουν την υποδομή διακομιστή της REvil και τα ωφέλιμα φορτία ransomware και να ξεκινήσουν δικές τους επιθέσεις, διαιρώντας οποιοδήποτε πιθανό παράνομο κέρδος από τα πληρωμένα λύτρα με τον όμιλο REvil.

Δεν υπάρχουν σκληρές ενδείξεις για τη χώρα από την οποία λειτουργεί το REvil, αλλά υπάρχουν εικασίες ότι η ομάδα ενδέχεται να εδρεύει στη Ρωσία, λόγω του γεγονότος ότι δεν έχουν ξεκινήσει ποτέ επίθεση εναντίον επιχειρήσεων και στόχων που βρίσκονται στη Ρωσία ή σε άλλες χώρες που ανήκουν στο λεγόμενο πρώην σοβιετικό μπλοκ. Υπάρχει επίσης εικασία ότι η ομάδα REvil σχετίζεται κάπως με την ομάδα απειλών του DarkSide, καθώς ο κώδικας του ransomware που χρησιμοποιούν οι δύο ομάδες χάκερ έχει ορισμένες ομοιότητες.

Η ομάδα REvil βρίσκεται στα αξιοθέατα της κοινότητας infosec από τα τέλη του 2019, με σημαντικές επιθέσεις και δραστηριότητες να αυξάνονται το 2020.

Αξιοσημείωτες προηγούμενες επιθέσεις που αποδίδονται στο REvil

Οι πιο αξιοσημείωτες επιθέσεις που εκτελέστηκαν από την REvil στο παρελθόν περιλαμβάνουν την επίθεση εναντίον της Quanta Computers, ενός κατασκευαστή υλικού που εδρεύει στην Ταϊβάν. Η REvil έκλεψε σχέδια και έγγραφα σχετικά με τα επερχόμενα προϊόντα της Apple στην επίθεση.

Μόλις πριν από ένα μήνα, η REvil ήταν επίσης πίσω από τη μαζική δουλειά ransomware στην JBS USA Holdings - τον μεγαλύτερο προμηθευτή νωπού κρέατος στις ΗΠΑ. Η επίθεση κορυφώθηκε με την JBS να καταβάλει τεράστια 11 εκατομμύρια δολάρια στους χάκερ για να πάρουν ένα εργαλείο αποκρυπτογράφησης και να επαναφέρουν τα δίκτυά τους σε κανονική κατάσταση λειτουργίας.

Τον Ιούνιο του 2021, η REvil ανέλαβε επίσης την ευθύνη για την επίθεση ransomware που ανέφερε η εταιρεία εξοπλισμού παραγωγής ηλεκτρικής ενέργειας με έδρα τις ΗΠΑ.

Νέες προσπάθειες επίθεσης ξεκίνησαν από τους χάκερ REvil Ransomware που στοχεύουν εκατοντάδες εταιρείες κατά τη διάρκεια των διακοπών της 4ης Ιουλίου

Μια εκστρατεία στον κυβερνοχώρο που περιελάμβανε ransomware REvil άρχισε να στοχεύει επιχειρήσεις στη Βόρεια Αμερική το 4ο Σαββατοκύριακο του Ιουλίου. Σε αυτήν τη συγκεκριμένη επίθεση, γνωστή ως επίθεση αλυσίδας εφοδιασμού, η REvil χρησιμοποίησε ένα λογισμικό απομακρυσμένης επιφάνειας εργασίας τρίτου κατασκευαστή που αναπτύχθηκε από την εταιρεία υποστήριξης πληροφορικής Kaseya, για να διαδώσει το ωφέλιμο φορτίο του σε άλλες επιχειρήσεις.

Η εταιρεία δήλωσε ότι το απομακρυσμένο λογισμικό τους χρησιμοποιείται για τη διάδοση του REvil σε ανυποψίαστα θύματα. Οι εκθέσεις αναφέρουν ότι έχουν επηρεαστεί τουλάχιστον 200 αμερικανικές εταιρείες, καθώς και 40 διεθνείς εταιρείες.

Η επίθεση REvil Ransomware ανακαλύφθηκε την Παρασκευή 2 Ιουλίου, αφού το REvil χρησιμοποίησε μια ενημέρωση λογισμικού για να θέσει σε κίνδυνο τις υπηρεσίες απομακρυσμένης επιφάνειας εργασίας της Kaseya. Σε απάντηση στην επίθεση, η εταιρεία έκλεισε τους διακομιστές της SaaS για να προστατεύσει τα δεδομένα των πελατών και τους παρότρυνε να λάβουν προληπτικά μέτρα κατά της εισβολής. Ωστόσο, δεδομένου ότι η επίθεση συνέβη μόλις άρχισε η αργία της 4ης Ιουλίου, είναι πιθανό ότι οι απαντήσεις στην απειλή από τις επηρεαζόμενες εταιρείες θα καθυστερήσουν.