REvil вернулся?

Логотип компании
29.05.2022
REvil вернулся?
Злоумышленники утверждают, что представляют печально известную банду вымогателей REvil, которая уже несколько месяцев считается ликвидированной.

Они взяли на себя ответственность за недавнюю DDoS-атаку на одного из клиентов облачного провайдера Akamai, работающего в сетевом гостиничном бизнесе. Тем не менее, скорее всего эта атака является не возрождением печально известной киберпреступной группировки, а под ее именем действуют подражатели, считают исследователи.

Исследователи отслеживают DDoS-атаку с 12 мая, когда клиент предупредил группу реагирования на инциденты безопасности (SIRT) о попытке атаки со стороны группировки, утверждающей, что она связана с REvil, сообщил Akamai.

DDoS-атака состояла из простого HTTP/2 GET-запроса, содержащего встроенное 554-байтное сообщение с требованием оплаты. В сообщении говорилось, что для прекращения атаки необходимо перевести BTC на адрес кошелька. Кроме того, вымогатели требовали прекратить бизнес-операции по всей стране.

«В данный момент атака нацелена на сайт, отправляя волну запросов HTTP/2 GET с методами разрушения кэша», — написал в своем посте исследователь уязвимостей Akamai SIRT Ларри Кэшдоллар, - Запросы содержат встроенные требования об оплате, биткойн-кошельке (BTC) и деловые/политические требования».

Однако, хотя злоумышленники утверждают, что они представляют REvil, в настоящее время это не подтверждено, считают исследователи.

Похоже, что за DDoS-кампанией стоит и политическая мотивация, что несовместимо с предыдущей тактикой REvil, в которой группа утверждала, что мотивирована исключительно финансовой выгодой.

REvil, ликвидированная в июле 2021 года, представляла собой группу программ-вымогателей, хорошо известную своими громкими атаками на Kaseya, JBS Foods и Apple Computer. Подрывной характер ее атак побудил международные власти принять жесткие меры, и в ноябре 2021 года Европол арестовал несколько членов банды.

Наконец, в марте 2022 года ФСБ России объявило о полной ликвидации группы по запросу правительства США, задержав ее отдельных членов. Один из арестованных в свое время активно помогал группе вымогателей DarkSide организовать атаку в мае 2021 года на Colonial Pipeline, в результате которой компания заплатила выкуп в размере 5 миллионов долларов.

Исследователи заявили, что в недавней DDoS-атаке, вымогатели приказали жертве отправить платеж BTC на адрес кошелька, номер которого не имеет очевидной связи с оригинальной REvil.

Кэшдоллар считает, что за атакой стоят подражатели. Потому что обычно цель REvil состояла в том, чтобы получить доступ к корпоративной сети организации и зашифровать или украсть конфиденциальные данные, требуя оплаты за расшифровку или предотвращение их утечки, а в случае отказа угрожать публичным раскрытием информации.

Тактика, использованная в DDoS-атаке, отклоняется от их обычной, пишет Кэшдоллар. Политическая мотивация, связанная с атакой, также идет вразрез с заявлениями лидеров REvil о том, что они руководствуются исключительно прибылью.

Хотя не исключено, что REvil стремится возродиться, осваивая новую бизнес-модель, скорее всего злоумышленники просто используют имя печально известной киберпреступной группы, чтобы запугать организацию и заставить ее выполнить свои требования.

Читайте также
О том, в какой мере уход западных вендоров трансформировал рынок компьютерной техники, почему без полной локализации производства сегодня не обойтись и как отвечать потребностям заказчиков в современных условиях, IT-World рассказывает Антон Громов, вице-президент «Рикор» — одного из крупнейших в РФ производителей компьютерной и серверной техники.

Похожие статьи