REvil, מבצע אדיר של Ransomware-as-a-Service (RaaS) שהתגלה לראשונה בסוף אפריל 2019, חזר. לאחר שישה חודשים של חוסר פעילות - בעקבות הפשיטה של הרשויות ברוסיה - נראה שקבוצת תוכנות הכופר שבה לפעול.
ניתוח של דגימות תוכנות כופר חדשות מגלה שלמפתח יש גישה לקוד המקור של REvil, כלומר קבוצת האיומים צצה מחדש. החשדות הללו התחזקו עוד יותר כאשר האתר של צוות תוכנת הכופר הושק מחדש ברשת האפלה.
ראינו הרבה קבוצות של תוכנות כופר בעבר, אבל מה מייחד את REvil? מה משמעות החזרה של הקבוצה עבור עולם הסייבר? בוא נגלה!
מה מייחד את REvil Ransomware?
REvil בנתה מוניטין של הולכת אחרי יעדים בעלי פרופיל גבוה ורווחיים מאוד ודורשת תשלומים מופקעים מהקורבנות שלה. זו גם אחת הקבוצות הראשונות שאימצו את טקטיקת הסחיטה הכפולה שבה הם חילצו את הנתונים של הקורבן והצפנו אותם.
ה תוכנת כופר סחיטה כפולה התוכנית מאפשרת ל-REvil לדרוש שני כופר עבור רווחים כספיים גבוהים. בראיון עם OSINT רוסית, מפתחי הקבוצה טענו שהם הרוויחו יותר מ-100 מיליון דולר בשנה אחת על ידי מיקוד לארגונים גדולים. עם זאת, רק חלק קטן ממנו הלך למפתחים, בעוד שהשותפים קיבלו את חלק הארי.
התקפות עיקריות של REvil Ransomware
קבוצת תוכנות הכופר REvil עמדה מאחורי חלק מהן מתקפות הכופר הגדולות ביותר של 2020-21. הקבוצה הגיעה לאור הזרקורים לראשונה בשנת 2020 כאשר תקפה את Travelex, מה שהוביל בסופו של דבר למותו של החברה. בשנה שלאחר מכן, REvil החלה לעלות לכותרות על ידי ביצוע התקפות סייבר משתלמות ביותר ששיבשו את התשתיות הציבוריות ואת שרשראות האספקה.
הקבוצה תקפה חברות כמו Acer, Quanta Computer, JBS Foods וספקית ניהול ה-IT והתוכנה Kaseya. לקבוצה כנראה היו כמה קישורים ל- התקפת צינור קולוניאלית ידועה לשמצה, מה ששיבש את שרשרת אספקת הדלק בארה"ב.
בעקבות מתקפת הכופר Kaseya REvil, הקבוצה השתתקה במשך זמן מה כדי להפחית את תשומת הלב הלא רצויה שהביאה לעצמה. היו ספקולציות רבות שהקבוצה מתכננת סדרה חדשה של תקיפות בקיץ 2021, אך לאכיפת החוק היו תוכניות אחרות עבור המפעילים של REvil.
יום ההתחשבנות עבור חבורת הסייבר REvil
כשכנופיית תוכנות הכופר הידועה לשמצה צצה מחדש למתקפות חדשות, הם גילו שהתשתית שלהם נפגעת ופנו נגדם. בינואר 2022, שירות הביטחון הממלכתי הרוסי FSB הודיע כי שיבש את פעילות הקבוצה לבקשת ארצות הברית.
כמה חברי כנופיה נעצרו, ונכסיהם נתפסו, כולל מיליוני דולרים אמריקאים, יורו ורובל, וכן 20 מכוניות יוקרה וארנקי מטבעות קריפטוגרפיים. מעצרים של תוכנת הכופר של REvil בוצעו גם במזרח אירופה, כולל פולין, שם הרשויות החזיקו חשוד במתקפת קאסיה.
נפילתו של REvil לאחר מעצרים של חברי קבוצה מרכזיים התקבלה באופן טבעי בברכה בקהילה הביטחונית, ורבים הניחו שהאיום חלף לחלוטין. עם זאת, תחושת ההקלה הייתה קצרת מועד שכן הכנופיה החלה כעת את פעילותה מחדש.
ההתעוררות של REvil Ransomware
חוקרים מ Secureworks ניתח דגימת תוכנות זדוניות ממרץ ורמז שהחבורה עשויה לחזור לפעולה. החוקרים גילו שלמפתח יש כנראה גישה לקוד המקור המקורי שבו השתמש REvil.
הדומיין המשמש את אתר REvil leak גם החל לפעול שוב, אך כעת הוא מפנה מבקרים לכתובת URL חדשה שבה רשומים יותר מ-250 ארגוני קורבנות REvil. הרשימה מכילה שילוב של הקורבנות הישנים של REvil וכמה מטרות חדשות.
Oil India - חברה הודית לעסקים נפט - הייתה הבולטת מבין הקורבנות החדשים. החברה אישרה את הפרת הנתונים והוגשה לה דרישת כופר בסך 7.5 מיליון דולר. בעוד שהמתקפה גרמה לספקולציות ש-REvil חוזרת לפעולה, עדיין היו שאלות לגבי האם מדובר בפעולת העתקה.
הדרך היחידה לאשר את החזרה של REvil הייתה למצוא דוגמה של המצפין של פעולת הכופר ולראות אם הוא הידור מקוד המקור המקורי.
בסוף אפריל, חוקר Avast Jakub Kroustek גילה את מוצפן תוכנת הכופר ואישר שזה אכן גרסה של REvil. המדגם לא הצפין קבצים אלא הוסיפה הרחבה אקראית לקבצים. מנתחי אבטחה אמרו שזה באג שהוצג על ידי מפתחי תוכנת הכופר.
מנתחי אבטחה מרובים הצהירו שדגימת תוכנת הכופר החדשה קשורה לקוד המקור המקורי, כלומר מישהו מהחבורה - למשל מפתח ליבה - חייב להיות מעורב.
הרכב הקבוצה של REvil
הופעתה מחדש של REvil לאחר המעצרים לכאורה מוקדם יותר השנה עוררה שאלות לגבי הרכב הקבוצה והקשרים שלה עם ממשלת רוסיה. הכנופיה חשכה בגלל הדיפלומטיה האמריקאית המוצלחת לפני תחילת הסכסוך בין רוסיה לאוקראינה.
עבור רבים, התעוררות הפתאומית של הקבוצה מעידה על כך שרוסיה עשויה לרצות להשתמש בה כמכפיל כוח במתיחות הגיאופוליטית המתמשכת.
מכיוון שעדיין לא זוהה אדם, לא ברור מי עומד מאחורי המבצע. האם אלו אותם אנשים שניהלו את הפעולות הקודמות, או שקבוצה חדשה השתלטה עליה?
הרכב הקבוצה השולטת עדיין בגדר תעלומה. אבל בהתחשב במעצרים מוקדם יותר השנה, סביר להניח שלקבוצה יהיו כמה מפעילים שלא היו בעבר חלק מ-REvil.
עבור חלק מהאנליסטים, זה לא נדיר שקבוצות תוכנות כופר יורדות ומופיעות שוב בצורות אחרות. עם זאת, אי אפשר לבטל לחלוטין את האפשרות שמישהו ימנף את המוניטין של המותג כדי ליצור דריסת רגל.
הגנה מפני התקפות כופר של REvil
מעצרו של המלך של REvil היה יום גדול לאבטחת סייבר, במיוחד כאשר קבוצות תוכנות כופר כוונו לכל דבר, החל ממוסדות ציבוריים ועד לבתי חולים ובתי ספר. אבל כפי שניתן לראות עם כל הפרעה לפעילות פלילית מקוונת, זה לא אומר את סופה של מגיפת הכופר.
הסכנה במקרה של REvil היא תוכנית הסחיטה הכפולה שבה הקבוצה תנסה למכור את הנתונים שלך ולהכתים את התדמית ואת קשרי הלקוחות של המותג.
באופן כללי, אסטרטגיה טובה להתמודד עם התקפות כאלה היא לאבטח את הרשת שלך ולבצע בדיקות סימולציה. התקפת תוכנת כופר מתרחשת לעתים קרובות עקב פגיעויות שלא תואמו, והתקפות סימולציה יכולות לעזור לך לזהות אותן.
אסטרטגיה מקלה נוספת היא לאמת את כולם לפני שהם יכולים לגשת לרשת שלך. ככזו, אסטרטגיית אמון אפס יכולה להיות מועילה שכן היא פועלת על העיקרון הבסיסי של אף פעם לא לסמוך על אף אחד ולאמת כל משתמש ומכשיר לפני מתן גישה למשאבי רשת.