REvil Ransomware

REvil jest powszechnie używanym uchwytem dla grupy podmiotów zajmujących się zagrożeniami zajmującymi się głównie oprogramowaniem ransomware. Ten sam kryminalny strój jest czasami określany jako Sodinokibi, od nazwy innego szczepu oprogramowania ransomware, którego grupa pierwotnie używała.

REvil to prywatna operacja prowadzona przez cyberprzestępców, którzy obsługują pierścień ransomware jako usługa. Strony stowarzyszone mogą w pewnym sensie wynajmować infrastrukturę serwerową REvil i oprogramowanie ransomware oraz przeprowadzać własne ataki, dzieląc wszelkie potencjalne nielegalne zyski z zapłaconego okupu z grupą REvil.

Nie ma twardych dowodów na temat kraju, z którego działa REvil, ale spekuluje się, że grupa może mieć siedzibę w Rosji, ponieważ nigdy nie atakowała firm i celów znajdujących się w Rosji lub w innych krajach należących do tak zwanego byłego bloku sowieckiego. Istnieją również spekulacje, że grupa REvil jest w jakiś sposób powiązana z grupą zagrożeń DarkSide, ponieważ kod oprogramowania ransomware używanego przez dwie grupy hakerów ma pewne podobieństwa.

Grupa REvil jest w zasięgu wzroku społeczności infosec od końca 2019 r., a w 2020 r. nasilają się znaczące ataki i aktywność.

Znane wcześniejsze ataki przypisywane REvil

Do najbardziej znaczących ataków przeprowadzonych przez REvil w przeszłości należy atak na Quanta Computers, producenta sprzętu z siedzibą na Tajwanie. Podczas ataku REvil ukradł plany i dokumentację dotyczącą nadchodzących produktów Apple.

Nieco ponad miesiąc temu firma REvil była również odpowiedzialna za ogromne zlecenie oprogramowania ransomware dla JBS USA Holdings – największego dostawcy świeżego mięsa w USA. Atak zakończył się tym, że JBS zapłacił hakerom ogromne 11 milionów dolarów, aby uzyskać narzędzie do deszyfrowania i przywrócić normalne działanie sieci.

W czerwcu 2021 r. REvil przejął również odpowiedzialność za atak ransomware zgłoszony przez amerykańską firmę produkującą sprzęt do wytwarzania energii.

Hakerzy REvil Ransomware atakują setki firm podczas świąt 4 lipca

Cyber-kampania z użyciem oprogramowania ransomware REvil zaczęła atakować firmy w Ameryce Północnej w weekend 4 lipca. W tym konkretnym ataku, znanym jako atak łańcucha dostaw, REvil wykorzystał oprogramowanie zdalnego pulpitu innej firmy opracowane przez firmę wspierającą IT, Kaseya, aby rozprzestrzenić swój ładunek na inne firmy.

Firma stwierdziła, że jej zdalne oprogramowanie było wykorzystywane do rozpowszechniania REvil wśród niczego niepodejrzewających ofiar. Raporty podają, że ucierpiało co najmniej 200 firm amerykańskich, a także 40 firm międzynarodowych.

Atak REvil Ransomware został wykryty w piątek, 2 lipca, po tym, jak REvil wykorzystał aktualizację oprogramowania do złamania usług zdalnego pulpitu Kaseya. W odpowiedzi na atak firma wyłączyła swoje serwery SaaS w celu ochrony danych klientów i wezwała ich do podjęcia środków zapobiegawczych przed włamaniem. Jednak ponieważ atak miał miejsce tuż przed rozpoczęciem wakacji 4 lipca, prawdopodobne jest, że reakcje na zagrożenie ze strony poszkodowanych firm będą opóźnione.