Science & Tech

Знаменитые «русские хакеры» восстали из пепла и продолжили громить интернет


Печально известная хакерская группировка REvil возобновила действие своей инфраструктуры, а также обновила свои
инструменты. Эксперты указывают, что новые версии шифровальщика скомпилированы
из исходников, доступ к которым был только у непосредственных операторов REvil.

Давно не виделись

Известная шифровальная
группировка REvil вернулась к активной деятельности: инфраструктура в даркнете снова
функционирует, кроме того, обнаружены новые версии вредоносного ПО, которым участники
REvil
пользовались перед приостановкой атак.

Ранее сообщалось, что
ключевые члены группировки с российскими участниками были арестованы в январе
2022 г. силами Федеральной службы безопасности России (ФСБ). В январе 2022 г.
CNews писал, что среди членов группировки REvil оказался владелец ресторана Vincent, расположенного на Театральной площади
Санкт-Петербурга.

Шифровальщики REvil задействуют многие сторонние группировки. Их
атаки, как правило, касаются взломанных исполняемых файлов. Сейчас же, как
выяснили эксперты по информбезопасности, речь идет о новой версии флагманской
разработки REvil, скомпилированной из исходного кода. Доступ к нему всегда был только у
операторов самой REvil.

Сэмпл нового вредоноса
удалось перехватить эксперту компании Avast Якубу Крустеку (Jakub Kroustek). Он подтвердил свою принадлежность к REvil.

Коллега Крустека по цеху,
эксперт R3MRUM отметил
в «Твиттере», что версия вредоноса сменилась на 1.0, но это точно новый вариант
версии 2.08, которой REvil пользовались непосредственно перед приостановкой деятельности.

Исполнительный директор Advanced Intel Виталий
Кремец
произвел реверс-инженерию
перехваченного сэмпла и подтвердил в разговоре с изданием Bleeping Computer, что он был скомпилирован 26 апреля 2022 г. из
исходного кода.

hak600.jpg

Шифровальная группировка REvil возвращается с помпой

По данным Кремеца, некоторые
особенности исходного кода указывают на то, что новая версия специально создана
для узкотаргетированных атак. Идея, по-видимому, состоит в том, чтобы шифровальщик
срабатывал только в определенных средах и игнорировал другие.

Впрочем, при тестировании в
редакции Bleeping Computer,
новая версия шифровальщика REvil ничего не зашифровала, но зато сгенерировала
сообщение с требованием выкупа идентичное тем, что появлялись на зашифрованных
системах в прошлом.

Послужной список

Русскоязычная группировка REvil широко известна
масштабными кибератаками на крупный бизнес по всему миру (кроме России). Среди
ее жертв — Quanta, тайваньский поставщик оборудования для дата-центров Apple, юридическая фирма Grubman, Shire, Meiselas & Sacks, клиентами которой являются многие политики и
звезды шоу-бизнеса, корпорация Acer, один из крупнейших в мире производителей
электроники, подрядчик минобороны США по линии ядерных технологий SolOriens.

Звездным часом группировки стала
суператака на Kaseya. Воспользовавшись уязвимостью в мониторинговом ПО компании, которое
задействуют многочисленные провайдеры ИТ-услуг (MSP), злоумышленники парализовали деятельность около
полутора тысяч предприятий, а заодно остановили работу 500 супермаркетов
шведской торговой сети Coop.

Атака сопровождалась
требованием рекордной суммы выкупа. Но для REvil она оказалась последней. Практически в то же
время группировка DarkSide успешно атаковала один из крупнейших американских трубопроводов Colonial Pipeline, что привело к сбоям
в поставках топлива во множестве штатов США и введению там чрезвычайного
положения.

После этого деятельность
шифровальщиков-вымогателей вышла в политическую плоскость и стала предметом
переговоров между властями США и России. Спустя несколько дней после этих
переговоров REvil отключили свои серверы и сайты до сентября 2021 г., когда состоялась
первая попытка вернуться хакеров в строй.

BleepingComputer со
ссылкой на экспертов по безопасности и разведке киберугроз утверждает, что за
нынешним перезапуском REvil стоит один из его оригинальных разработчиков.

«Подобные операции требуют
глубокой проработки, подготовки и, нередко, обмена оперативными данными с
другими странами, — говорит Дмитрий
Гвоздев
, генеральный директор компании «Информационные технологии
будущего». — Тем не менее, иногда бывает сложно доказать прямую связь того или
иного лица с кибергруппировкой, так что не исключено, что кто-то со знанием
технологий и контактами в криминальных киберкругах избежал возмездия и пытается
перезапустить бренд заново. Также нельзя исключать, что под шапкой раскрученной
группировки могут пытаться работать совсем другие игроки, в том числе и
представители спецслужб разных стран. На это, кстати, косвенно указывает то, что
перезапуск REvil оказался избыточно публичным для кибергруппировки, для которой нормальное
поведение — пытаться пореже попадать на радары».


Роман Георгиев



Source hyperlink

Leave a Reply

Your email address will not be published.