REvil Ransomware
„REvil“ yra dažniausiai naudojama grėsmių veikėjų grupės, daugiausia užsiimančios išpirkos programine įranga, rankena. Ta pati nusikalstama apranga kartais vadinama „Sodinokibi“, pavadinus kitą išpirkos išpirkos štamo pavadinimą, kurį grupė naudojo iš pradžių.
„REvil“ yra privati operacija, kurią valdo kibernetiniai nusikaltėliai, kurie valdo išpirkos išpirkimo programinės įrangos žiedą. Susijusios šalys tam tikra prasme gali išnuomoti „REvil“ serverių infrastruktūrą ir išpirkos išpirkimo programinę įrangą bei pradėti savo atakas, padalindamos galimą neteisėtą pelną iš mokamos išpirkos su „REvil“ grupe.
Nėra tvirtų įrodymų apie šalį, kurioje veikia „REvil“, tačiau spėliojama, kad grupė gali būti įkurta Rusijoje dėl to, kad jie niekada nepuolė prieš Rusijoje ar kitose priklausančiose šalyse esančius verslus ir taikinius. į vadinamąjį buvusį sovietinį bloką. Taip pat spėliojama, kad „REvil“ grupė yra kažkaip susijusi su „DarkSide“ grėsmių grupe, nes išpirkos programos, kurią naudoja dvi įsilaužėlių grupės, kodas turi tam tikrų panašumų.
„REvil“ grupė nuo 2019 m. Pabaigos buvo infosekų bendruomenės akiratyje, o reikšmingų išpuolių ir veiklos padaugėjo 2020 m.
Žinomi praeities užpuolimai, priskirti REvilui
Ryškiausios praeityje įvykdytos „REvil“ atakos apima išpuolį prieš Taivane įsikūrusią aparatūros gamintoją „Quanta Computers“. „REvil“ pavogė planus ir dokumentus, susijusius su būsimais „Apple“ produktais per ataką.
Prieš kiek daugiau nei mėnesį „REvil“ taip pat dirbo už didžiulį išpirkos darbą „JBS USA Holdings“ - didžiausiame šviežios mėsos tiekėjuje JAV. Ataka baigėsi tuo, kad JBS sumokėjo įsilaužėliams didžiulius 11 milijonų dolerių, kad gautų iššifravimo įrankį ir atkurtų jų tinklų įprastą darbo tvarką.
2021 m. Birželį „REvil“ taip pat prisiėmė atsakomybę už išpirkos išpirkimo programą, apie kurią pranešė JAV įsikūrusi elektros energijos gamybos įranga.
Naujos atakos, kurias „REvil Ransomware“ įsilaužėliai pradėjo šimtams įmonių, liepos 4-osios atostogų metu
Kibernetinė kampanija, kurioje dalyvavo „REvil“ išpirkos programa, buvo nukreipta į Šiaurės Amerikos įmones liepos 4-osios savaitgalį. Šioje atakoje, vadinamoje tiekimo grandinės ataka, „REvil“ panaudojo IT palaikymo firmos „Kaseya“ sukurtą trečiosios šalies nuotolinio darbalaukio programinę įrangą, kad paskirstytų savo naudingąjį krūvį kitoms įmonėms.
Bendrovė nurodė, kad jų nuotolinė programinė įranga buvo naudojama „REvil“ sklaidai nieko neįtariantiems aukoms. Ataskaitose teigiama, kad nukentėjo mažiausiai 200 JAV bendrovių ir 40 tarptautinių kompanijų.
„REvil Ransomware“ ataka buvo atrasta penktadienį, liepos 2 d., Kai „REvil“ naudojo programinės įrangos atnaujinimą pažeisdamas „Kaseya“ nuotolinio darbalaukio paslaugas. Reaguodama į ataką, įmonė uždarė „SaaS“ serverius, kad apsaugotų klientų duomenis, ir paragino juos imtis atsargumo priemonių nuo įsilaužimo. Tačiau kadangi ataka įvyko tik prasidėjus liepos 4-osios šventei, tikėtina, kad atsakymai į nukentėjusių įmonių grėsmę bus atiduoti.