REvil, en formidabel Ransomware-as-a-Service (RaaS) operation, der først kom frem i slutningen af april 2019, er kommet tilbage. Efter seks måneders inaktivitet - efter de russiske myndigheders razzia - ser ransomware-gruppen ud til at have genoptaget driften.
Analyse af nye ransomware-prøver afslører, at udvikleren har adgang til REvils kildekode, hvilket betyder, at trusselsgruppen er genopstået. Disse mistanker blev yderligere forstærket, da ransomware-holdets websted relancerede på det mørke web.
Vi har set masser af ransomware-grupper før, men hvad gør REvil speciel? Hvad betyder gruppens tilbagevenden for cyberverdenen? Lad os finde ud af det!
Hvad gør REvil Ransomware unik?
REvil opbyggede et ry for at gå efter højprofilerede og meget lukrative mål og kræve ublu betalinger fra sine ofre. Det er også en af de første grupper, der har vedtaget den dobbelte afpresningstaktik, hvor de eksfiltrerede ofrets data og krypterede dem.
Det dobbelt afpresning ransomware ordningen giver REvil mulighed for at kræve to løsesum for høje økonomiske gevinster. I et interview med
russisk OSINT, hævdede gruppeudviklerne, at de tjente mere end 100 millioner dollars på et år ved at målrette mod store virksomheder. Dog gik kun en brøkdel af det til udviklerne, mens de associerede selskaber fik broderparten.Større REvil Ransomware-angreb
REvil ransomware-gruppen har stået bag nogle af de største ransomware-angreb i 2020-21. Gruppen kom først i rampelyset i 2020, da den angreb Travelex, hvilket i sidste ende førte til virksomhedens død. Året efter begyndte REvil at skabe overskrifter ved at iscenesætte meget lukrative cyberangreb, der forstyrrede offentlig infrastruktur og forsyningskæder.
Gruppen angreb virksomheder som Acer, Quanta Computer, JBS Foods og IT-administrations- og softwareudbyderen Kaseya. Gruppen havde sandsynligvis nogle links til berygtet Colonial Pipeline-angreb, som forstyrrede brændstofforsyningskæden i USA.
Efter Kaseya REvil ransomware-angrebet gik gruppen stille i nogen tid for at afbøde den uønskede opmærksomhed, den havde bragt til sig selv. Der var mange spekulationer om, at gruppen planlagde en ny række angreb i sommeren 2021, men retshåndhævelsen havde andre planer for REvils operatører.
Regnskabsdagen for REvil Cyber Banden
Da den berygtede ransomware-bande dukkede op igen for nye angreb, opdagede de, at deres infrastruktur blev kompromitteret og vendte sig imod dem. I januar 2022 meddelte den russiske statssikkerhedstjeneste FSB, at den havde forstyrret gruppens aktiviteter på anmodning fra USA.
Adskillige bandemedlemmer blev anholdt, og deres aktiver beslaglagt, herunder millioner af amerikanske dollars, euro og rubler, samt 20 luksusbiler og cryptocurrency-punge. REvil-ransomware-anholdelserne blev også foretaget i Østeuropa, inklusive Polen, hvor myndighederne holdt en mistænkt i Kaseya-angrebet.
REvils undergang efter anholdelserne af nøglegruppemedlemmer blev naturligvis hilst velkommen i sikkerhedssamfundet, og mange antog, at truslen var forbigået helt. Følelsen af lettelsen var dog kortvarig, da banden nu har genoptaget sine aktiviteter.
Genopblomstringen af REvil Ransomware
Forskere fra Secureworks analyserede en malwareprøve fra marts og antydede, at banden muligvis er tilbage i aktion. Forskerne fandt ud af, at udvikleren sandsynligvis har adgang til den originale kildekode, der blev brugt af REvil.
Domænet brugt af REvil leak-webstedet begyndte også at fungere igen, men det omdirigerer nu besøgende til en ny URL, hvor mere end 250 REvil-offerorganisationer er opført. Listen indeholder en blanding af REvils gamle ofre og et par nye mål.
Oil India - et indisk petroleumsselskab - var det mest fremtrædende af de nye ofre. Virksomheden bekræftede databruddet og blev serveret med et krav om løsesum på $7,5 millioner. Mens angrebet forårsagede spekulationer om, at REvil genoptog driften, var der stadig spørgsmål om, hvorvidt dette var en kopioperation.
Den eneste måde at bekræfte REvils tilbagevenden var at finde en prøve af ransomware-operationens kryptering og se, om den var kompileret fra den originale kildekode.
I slutningen af april opdagede Avast-forsker Jakub Kroustek ransomware-krypteringen og bekræftede, at det faktisk var en REvil-variant. Prøven krypterede ikke filer, men tilføjede en tilfældig udvidelse til filer. Sikkerhedsanalytikere sagde, at det var en fejl introduceret af ransomware-udviklerne.
Flere sikkerhedsanalytikere har udtalt, at den nye ransomware-eksempel er knyttet til den originale kildekode, hvilket betyder, at nogen fra banden - for eksempel en kerneudvikler - skal have været involveret.
Sammensætningen af REvils gruppe
REvils genkomst efter de påståede anholdelser tidligere i år har rejst spørgsmål om gruppens sammensætning og dens bånd til den russiske regering. Banden blev mørk på grund af vellykket amerikansk diplomati før starten på Rusland-Ukraine-konflikten.
For mange tyder den pludselige genopblussen af gruppen på, at Rusland måske vil bruge den som en styrkemultiplikator i de igangværende geopolitiske spændinger.
Da der endnu ikke er identificeret en person, er det uklart, hvem der står bag operationen. Er det de samme personer, som drev de tidligere operationer, eller har en ny gruppe overtaget?
Sammensætningen af den kontrollerende gruppe er stadig et mysterium. Men i betragtning af anholdelserne tidligere i år, er det sandsynligt, at gruppen kan have et par operatører, som ikke tidligere var en del af REvil.
For nogle analytikere er det ikke ualmindeligt, at ransomware-grupper går ned og dukker op igen i andre former. Man kan dog ikke helt udelukke muligheden for, at nogen udnytter mærkets omdømme til at få fodfæste.
Beskyttelse mod REvil Ransomware-angreb
Anholdelsen af REvils kingpin var en stor dag for cybersikkerhed, især når ransomware-grupper var rettet mod alt fra offentlige institutioner til hospitaler og skoler. Men som set med enhver forstyrrelse af online kriminel aktivitet, betød det ikke enden på ransomware-pandemien.
Faren i REvils tilfælde er den dobbelte afpresningsordning, hvor gruppen ville forsøge at sælge dine data og plette et brands image og kunderelationer.
Generelt er en god strategi til at imødegå sådanne angreb at sikre dit netværk og udføre simulationstests. Et ransomware-angreb opstår ofte på grund af uoprettede sårbarheder, og simulationsangreb kan hjælpe dig med at identificere dem.
En anden vigtig afbødende strategi er at verificere alle, før de kan få adgang til dit netværk. Som sådan kan en nul-tillidsstrategi være fordelagtig, da den fungerer efter det grundlæggende princip om aldrig at stole på nogen og verificere hver bruger og enhed, før den giver dem adgang til netværksressourcer.