Что известно о группировке REvil и какое отношение к ней имеет Россия
Ночью 13 июля 2021 года из даркнета исчезла вся инфраструктура хакерской группировки REvil. Она распространяет вирусы-вымогатели, которые блокируют доступ компаний к устройствам, шифруя данные, и требует выкуп за дешифратор. Первыми об этом рассказали американские специалисты по информационной безопасности, а также американские СМИ, среди которых были The New York Times и CNBC. У REvil перестали работать все сайты, через которые злоумышленники требовали выкупы у атакованных компаний: в результате их жертвы даже при желании не могли получить дешифратор взамен на деньги. Кроме того, исчез блог группировки: в нем компания рассказывала о своих атаках и публиковала чувствительную информацию, за которую ее жертвы отказывались платить.
На теневых форумах заблокировали аккаунт представителя REvil. Обычно администрация хакерских форумов блокирует учетную запись, если есть риск задержания ее владельца, рассказал Forbes заместитель руководителя «Лаборатории компьютерной криминалистики» Group-IB Олег Скулкин. Участники одного из форумов сообщили, что «техническая поддержка» REvil также недоступна. Некоторые из них предположили, что уход группировки был незапланированным, потому что у них остались «незакрытые вопросы».
Все это произошло через несколько дней после телефонного разговора президентов России и США, во время которого Джо Байден потребовал от Владимира Путина пресечь деятельность вымогателей из России.
О том, что REvil прекратила свое существование, сообщил в пятницу, 14 января «Интерфакс» со ссылкой на Центр общественных связей Федеральной службы безопасности (ФСБ). Сотрудники ФСБ и МВД вычислили и задержали всех 14 участников REvil: им предъявили обвинение в неправомерном обороте денежных средств. Основанием для розыска стало обращение американских «компетентных органов», которые рассказали о лидере группировке и его причастности к атакам на зарубежные компании.
У преступников нашли $600 000, €500 000 и 426 млн рублей, «в том числе в криптовалюте». Сотрудники ФСБ и МВД изъяли компьютерную технику и используемые хакерами криптокошельки, а также 20 автомобилей премиум-класса: они были куплены на полученные преступным путем деньги.
О задержании уже сообщили «представителям компетентных органов США», уточнили «Интерфаксу» в ФСБ. Когда именно это случилось, неизвестно. Однако вся инфраструктура хакерской группировки исчезла из даркнета летом 2021 года.
Что известно о группировке REvil и какое отношение к ней имеет Россия?
Российский след
Хакерская группировка REvil (также известна под названием Sodinokibi) работала в даркнете с 2019 года. REvil распространяла свой вирус-шифровальщик через партнеров (других хакеров), которые получали 60-75% от выкупа, рассказывала «Лаборатория Касперского» в своем исследовании в мае 2021 года. Также группировка известна тем, что требовала рекордно большие выкупы: за 2020 год она заработала $100 млн.
REvil, как правило, атаковала инженерно-производственный сектор (30% всех атак), финансовые организации (14%), поставщиков услуг (9%), юридические фирмы (7%), а также ИТ и телеком-компании (7%), говорится в исследовании. В марте 2021 года группировка атаковала компанию Acer, а в апреле похитила у производителя компьютерной техники Quanta Computer данные, представляющие собой чертежи, и опубликовала их: по данным REvil, это были чертежи устройств Apple. У обеих компаний вымогатели требовали по $50 млн.
В интервью Telegram-каналу Russian OSINT представитель REvil рассказал, что группировка предоставляет партнерам софт, дешифровщик, а также участвует в переговорах о выкупе и давлении на жертву. «Задача партнера — заразить сеть и убить бэкапы. Скачать файлы. Все. Остальное наша забота», — рассказывал представитель REvil. Он добавил, что в трети случаев крупные компании платят выкуп, чтобы атака не становилась публичной.
REvil очень внимательно подходила к выбору жертв, рассказывал Forbes аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Никита Комаров. Прежде всего, мошенники были заинтересованы в атаках на крупные компании, так как те в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов, отмечал Комаров.
В июне ФБР обвинила REvil в атаке на бразильского производителя мяса JBS. Из-за этого компании пришлось приостановить работу части своих предприятий и заплатить хакерам $11 млн в качестве выкупа. Американские эксперты неоднократно заявляли о связи REvil с Россией и российскими спецслужбами.
Они относят группировку REvil к России из-за характерных элементов в коде шифровальщика, а также из-за переписок между участниками на русском языке, указывает эксперт инжинирингового центра SafeNet Национальной технологической инициативы (НТИ) Игорь Бедеров. Однако преступники могут сознательно использовать иностранные языки, добавил он. «Например, на международном уровне мы выявляли группы наркоторговцев и торговцев людьми, которые общались по телефону исключительно на английском языке, опасаясь алгоритмов прослушки по ключевым фразам», — рассказал эксперт. Участники REvil проверяют, используют ли их жертвы русскоязычную раскладку клавиатуры — в этом случае они не начинают атаку, рассказал Forbes источник на рынке информационной безопасности. Это обычная практика у русскоязычных хакеров, чтобы избежать внимания со стороны местных правоохранительных органов, отметил собеседник Forbes.
Политический аспект
В начале июля 2021 года REvil осуществил масштабную атаку на американскую компанию Kaseya, которая удаленно оказывает ИТ-услуги. Хакеры воспользовались одной из семи уязвимостей Kaseya, о которых специалисты по кибербезопасности предупредили компанию еще в апреле. Тогда Kaseya исправила только четыре из них, оставшиеся три проблемы компания планировала решить позднее. В результате жертвами REvil стали более тысячи организаций-клиентов Kaseya. Представитель Kaseya Мильие Асебаль рассказала Forbes, что компания пока не обнаружила среди пострадавших клиентов российские организации.
Вскоре после этого, 9 июля, Байден и Путин говорили по телефону. Президент США обсудил «хакерские атаки, находящихся в России преступников, в которых использовались программы-вымогатели и которые затронули США и другие страны». По словам Байдена, Россия должна принять меры борьбы с хакерами, «ведущими деятельность в России». Позднее пресс-секретарь Белого дома Джейн Псаки сообщила, что американские власти пока не связали атаку на Kaseya с кем-либо, в том числе с российским правительством. Но сообщество специалистов в сфере кибербезопасности считает, что REvil действует из России, но у нее есть связи по всему миру, сказала Псаки. «На встрече президент дал понять Путину, что если российское правительство не может или не будет принимать меры против преступников, проживающих в России, мы сами примем меры или оставим за собой право действовать самостоятельно», — заявила пресс-секретарь Белого Дома.
Привлекли внимание
Издание The New York Times называло три основных версии исчезновения REvil в июле. По одной из них информационные ресурсы хакерской группы заблокировали американские спецслужбы. После разговора с Путиным Байден подтвердил журналистам, что США могут отключить серверы российских киберпреступников. По другой версии группировка REvil получила приказ сворачивать деятельность от российских спецслужб.
«Российскую» версию отключения REvil Бедерев считает маловероятной. В России фактически нет инфраструктуры для эффективной борьбы с киберпреступниками, до сих пор мошенников в стране ловят с трудом, говорит он. «Американцы считают, что Россия не отстает в техническом плане от США, хотя де-факто это не так», — отметил Бедерев.
Согласно третьей версии хакеры сознательно исчезли, потому что привлекли к себе слишком много внимания. Злоумышленники могли оставить след при проведении последней атаки на Kaseya, «поэтому для перестраховки ушли в тень», полагает Комаров из «Инфосистемы Джет». REvil прекратила свои операции вслед за другими хакерскими группировками, такими как DarkSide, Avaddon и Babuk, говорил руководитель отдела расширенного исследования угроз «Лаборатории Касперского» Владимир Кусков. Babuk объявила о прекращении работы в конце апреля 2020-го, заявив, что планирует сделать исходный код своего шифровальщика общедоступным. «Из-за крупных взломов операторы программ-вымогателей привлекли к себе слишком много внимания, поэтому многие решили залечь на дно, или хотя бы покинуть полупубличное пространство», — согласен Скулкин из Group-IB.