REvil Ransomware

A REvil az általánosan használt fenyegetésszerző csoport, amely elsősorban ransomware programmal foglalkozik. Ugyanazt a bűnözői ruhát néha Sodinokibinek nevezik, egy másik ransomware törzs neve után, amelyet a csoport eredetileg használt.

A REvil egy kiberbűnözők által vezetett magánművelet, amely ransomware-as-a-service gyűrűt működtet. A kapcsolt felek bizonyos értelemben kibérelhetik a REvil szerverinfrastruktúráját és ransomware hasznos terheit, és saját támadásokat indíthatnak, a fizetett váltságdíjból származó esetleges illegális hasznot elosztva a REvil csoporttal.

Nincsenek szilárd bizonyítékok arról az országról, amelyből a REvil működik, de spekulálnak, hogy a csoport Oroszországban lehet székhellyel, annak a ténynek köszönhető, hogy soha nem indítottak támadást Oroszországban vagy más országokban található vállalkozások és célpontok ellen az úgynevezett ex-szovjet-blokkhoz. Spekulálnak arra is, hogy a REvil csoport valahogy kapcsolatban áll a DarkSide fenyegetéscsoporttal, mivel a két hackercsoport által használt ransomware kódjának bizonyos hasonlóságai vannak.

A REvil csoport 2019 vége óta az infosec közösség látókörében van, 2020-ban jelentős támadások és aktivitás veszi kezdetét.

A REvilnek tulajdonított figyelemre méltó múltbeli támadások

A REvil által a múltban végrehajtott legjelentősebb támadások közé tartozik a tajvani székhelyű hardvergyártó Quanta Computers elleni támadás. A REvil ellopta a támadásban megjelenő Apple termékekkel kapcsolatos terveket és dokumentációt.

Alig több mint egy hónappal ezelőtt a REvil is mögött állt a hatalmas ransomware-feladatok mögött a JBS USA Holdings-nál - az Egyesült Államok legnagyobb friss hússzállítója. A támadás azzal tetőzött, hogy a JBS hatalmas 11 millió dollárt fizetett be a hackereknek, hogy megszerezzenek egy visszafejtő eszközt, és helyreállítsák hálózataikat a normális működési rendben.

2021 júniusában a REvil magára vállalta a ransomware támadást is, amelyet az amerikai székhelyű villamosenergia-termelő berendezés-vállalat jelentett.

Új támadási erőfeszítéseket indítottak a REvil Ransomware Hackerek, amelyek több száz céget céloztak meg július 4-i ünnep alatt

A REvil ransomware-t tartalmazó kiberkampány az észak-amerikai vállalkozásokat kezdte megcélozni a július 4-i hétvégén. Ebben a konkrét támadásban, amelyet ellátási lánc-támadásnak neveznek, a REvil egy harmadik féltől származó távoli asztali szoftvert használt fel, amelyet a Kaseya informatikai támogató cég fejlesztett ki, hogy hasznos terheit elterjessze más vállalkozások számára.

A vállalat kijelentette, hogy távoli szoftverüket a REvil terjesztésére használják a gyanútlan áldozatok számára. A jelentések szerint legalább 200 amerikai cég, valamint 40 nemzetközi vállalat érintett.

A REvil Ransomware támadást július 2-án, pénteken fedezték fel, miután a REvil szoftverfrissítéssel veszélyeztette Kaseya távoli asztali szolgáltatásait. A támadásra válaszul a vállalat leállította SaaS szervereit az ügyfelek adatainak védelme érdekében, és sürgette őket, hogy tegyenek óvintézkedéseket a feltörés ellen. Mivel azonban a támadás éppen akkor történt, amikor a július 4-i ünnep megkezdődött, valószínűleg késik a reagálás az érintett vállalatok fenyegetésére.