REvil Ransomware
REvil - это обычно используемый дескриптор для группы злоумышленников, занимающейся в основном программами-вымогателями. Эту же преступную группу иногда называют Sodinokibi, по названию другого штамма вымогателей, изначально использовавшегося этой группой.
REvil - это частная операция, которую проводят киберпреступники, использующие сеть вымогателей как услуги. Аффилированные стороны могут в некотором смысле сдавать в аренду серверную инфраструктуру REvil и полезные нагрузки вымогателей и запускать собственные атаки, разделив любую потенциальную незаконную прибыль от уплаченного выкупа с группой REvil.
Нет никаких веских доказательств о стране, в которой работает REvil, но есть предположения, что группа может базироваться в России, из-за того, что они никогда не предпринимали нападений на предприятия и цели, расположенные в России или других странах, принадлежащих в так называемый экс-советский блок. Существует также предположение, что группа REvil каким-то образом связана с группой угроз DarkSide, поскольку код программы-вымогателя, используемой двумя хакерскими группами, имеет определенное сходство.
Группа REvil находится в поле зрения информационного сообщества с конца 2019 года, и в 2020 году активизируются значительные атаки и активность.
Известные прошлые атаки, приписываемые REvil
Наиболее заметные атаки, осуществленные REvil в прошлом, включают атаку на Quanta Computers, производителя оборудования из Тайваня. REvil украл планы и документацию, относящуюся к будущим продуктам Apple в ходе атаки.
Чуть больше месяца назад REvil также стояла за масштабной работой по вымогательству для JBS USA Holdings - крупнейшего поставщика свежего мяса в США. Атака завершилась тем, что JBS выплатила хакерам огромную сумму в 11 миллионов долларов, чтобы получить инструмент дешифрования и восстановить свои сети до нормального рабочего состояния.
В июне 2021 года REvil также взяла на себя ответственность за атаку с использованием программ-вымогателей, о которой сообщила американская компания по производству оборудования для выработки электроэнергии.
Хакеры-вымогатели REvil предприняли новые атаки на сотни компаний в праздничные дни 4 июля
Кибер-кампания с использованием вымогателя REvil начала нацеливаться на компании в Северной Америке в выходные дни 4 июля. В этой конкретной атаке, известной как атака на цепочку поставок, REvil использовал стороннее программное обеспечение для удаленного рабочего стола, разработанное фирмой ИТ-поддержки Kaseya, чтобы распространить свою полезную нагрузку на другие предприятия.
Компания заявила, что их удаленное программное обеспечение использовалось для распространения REvil среди ничего не подозревающих жертв. В сообщениях говорится, что пострадали как минимум 200 американских компаний, а также 40 международных компаний.
Атака REvil Ransomware была обнаружена в пятницу, 2 июля, после того, как REvil использовал обновление программного обеспечения для взлома служб удаленного рабочего стола Kaseya. В ответ на атаку компания отключила свои серверы SaaS для защиты данных клиентов и призвала их принять меры предосторожности против взлома. Однако, поскольку атака произошла как раз в день начала праздника 4 июля, вполне вероятно, что ответные меры на угрозу со стороны затронутых компаний будут отложены.