REvil: Ποια είναι η ομάδα πίσω από μια σειρά επιθέσεων ransomware

ΑΠΕ-ΜΠΕ

Τον Ιούνιο, το FBI δήλωσε ότι η REvil ήταν πίσω από τη μαζική επίθεση στον κυβερνοχώρο που μπλόκαρε τις δραστηριότητες της JBS, του μεγαλύτερου προμηθευτή κρέατος στον κόσμο.

του Jonathan Vanian

Μια επίθεση ransomware στην εταιρεία εταιρικού λογισμικού Kaseya έχει αποδοθεί στην REvil, μια ύποπτη ομάδα χάκερ με έδρα τη Ρωσία που έχει συνδεθεί με πολλές άλλες σημαντικές παραβιάσεις.

Η επίθεση στην Kaseya, η οποία ξεκίνησε την περασμένη Παρασκευή, έπληξε πολλές εταιρείες και οργανισμούς, συμπεριλαμβανομένης της μεγαλύτερης σουηδικής αλυσίδας σουπερμάρκετ Coop και σχολείων στη Νέα Ζηλανδία. Για να αποκτήσουν πρόσβαση στα θύματα, οι χάκερ εκμεταλλεύτηκαν ένα σφάλμα στο λογισμικό διαχείρισης της Kaseya.

Τον Ιούνιο, το FBI δήλωσε ότι η REvil ήταν πίσω από τη μαζική επίθεση στον κυβερνοχώρο που μπλόκαρε τις δραστηριότητες της JBS, του μεγαλύτερου προμηθευτή κρέατος στον κόσμο. Παρόλο που η JBS είπε ότι μπόρεσε να ανακτήσει τον έλεγχο των συστημάτων των υπολογιστών της, πλήρωσε 11 εκατομμύρια δολάρια λύτρα για να «μετριάσει τυχόν απρόβλεπτα ζητήματα που σχετίζονται με την επίθεση και να διασφαλίσει ότι δεν θα διαγραφούν δεδομένα».

Το όνομα της REvil είναι ένα αμάλγαμα από τα αρχικά «ransomware» και «κακό» (evil), δήλωσε ο Satnam Narang, μηχανικός έρευνας για την εταιρεία ασφάλειας Tenable. Η ομάδα είναι επίσης γνωστή ως Sodinokibi και οι ερευνητές ασφαλείας έχουν ονομάσει την οικογένεια του κακόβουλου λογισμικού της ομάδας που κρυπτογραφεί ή «χαλάει» δεδομένα REvil / Sodinokibi ή REvil.Sodinokibi.

Η REvil είναι μια επιχείρηση που πουλά τεχνολογία hacking και άλλα εργαλεία σε τρίτους χάκερ. Τα μέλη της REVIL δημιούργησαν μια διαδικτυακή υποδομή στον σκοτεινό ιστό, ένα μέρος του διαδικτύου που οι μηχανές αναζήτησης όπως η Google δεν παρακολουθούν, όπου άλλοι χάκερ δημοσιεύουν κλεμμένα έγγραφα και συλλέγουν πληρωμές ransomware από τα θύματα, δήλωσε ο Narang. Σε αντάλλαγμα για τη χρήση των υπηρεσιών και του κακόβουλου λογισμικού της REvil, η REvil, όπως και παρόμοιες ομάδες, λαμβάνει περίπου 20% προμήθεια από τυχόν πληρωμές για ransomware, ενώ οι συνεργαζόμενες εταιρείες διατηρούν το υπόλοιπο 80%, προσέθεσε.

Σε αντίθεση με τους κρατικούς χάκερ που έχουν υποστήριξη από κυβερνήσεις, η REvil έχει καθαρά οικονομικά κίνητρα, δήλωσε ο Jack Cable, αρχιτέκτονας ασφάλειας της συμβουλευτικής εταιρείας Krebs Stamos Group.

Ο Cable επικοινώνησε με τη REvil μέσω του σκοτεινού ιστού για να δει αν θα του πουλούσε το λεγόμενο κλειδί καθολικής αποκρυπτογράφησης, το οποίο ξεκλειδώνει τους μολυσμένους υπολογιστές. Εξεπλάγη όταν η ομάδα του πρόσφερε το εργαλείο έναντι 50 εκατομμυρίων δολαρίων αντί για την αρχική τιμή των 70 εκατομμυρίων δολαρίων, γεγονός που τον οδήγησε να υποθέσει ότι μπορεί να δυσκολεύεται να εισπράξει πληρωμές.

Οι εταιρείες πρέπει να δημιουργούν αντίγραφα ασφαλείας όλων των σημαντικών δεδομένων τους που να είναι αποθηκευμένα εκτός διαδικτύου, ώστε να μπορούν να επαναφέρουν τα συστήματα πληροφορικής τους μετά από επίθεση, χωρίς να πληρώνουν λύτρα. Οι εταιρείες θα πρέπει επίσης να παρέχουν εκπαίδευση πάνω στην κυβερνοασφάλεια στους υπαλλήλους τους.

«Ο διευθύνων σύμβουλος κάθε επιχείρησης πρέπει να είναι προετοιμασμένος για μια επίθεση ransomware», δήλωσε ο Cable. «Πρέπει να έχει σκεφτεί μια στρατηγική για την ασφάλεια στον κυβερνοχώρο».