Групировката REvil се активира отново след няколкомесечно затишие?

Криптогрупировката REvil отново отбелязва активност, след като през юли уебсайтовете ѝ изчезнаха от интернет. Сега, според компанията за киберсигурност CrowdStrike, цитирана от Bloomberg, че е забелязано активиране уеб портал, наречен Happy Blog, използван за преговаряне с жертвите.

Не се знае, дали зад активирането стоят отново REvil или други.

REvil (съкратено от Ransomware Evil), известна още като Sobinokibi, стана известна около най-големите кибератаки в историята. На 2 юли 2021 г., използвайки уязвимост от нулев ден в софтуера на американската компания Kaseya, бяха атакувани едновременно няколко десетки доставчици на услуги, използващи този софтуер, а чрез тях - над 1500 други компании.

Изнудвачите поискаха общо 5 милиона долара откуп - по 44 999 долара за всяка компания, засегната от рансъмуера. Още 70 млн. бяха поискани за получаване на мастър ключа за декриптиране на всички файлове, но след това тази сума бе намалена до 50 млн. долара.

Правоохранителните органи на САЩ започнаха издирване участниците в REvil. Бе съобщено, че групировката е базирана в Русия. Белият дом се обърна към Кремъл с настоятелна молба за предприемане на действия. Изчезването ѝ от кибепространството в средата на юли предизвика коментари, че някоя от двете страни предприела нещо.

Инфраструктурата на REvil, включително сървърите в защитената мрежа Tor, неочаквано бяха деактивирани на 13 юли. Жертвите на рансъмуера, които се опитваха да преговарят за декриптиране на файлове за откуп, не можаха да се свържат с нападателите. По-късно обаче представители на Kaseya получиха мастър ключ за декриптиране. Като източник бе посочена "надеждна трета страна".

Първите атаки на групата REvil/Sodinokibi се състояха през април 2019 г. Използваният от тях криптовирус бе базиран по-ранна подобна програма, GandCrab. По време на пика активността си GandCrab представляваше до 40% от рансъмуер в световен мащаб, като през 2019-та създаделите ѝ се похвалиха, че са събрали над 2 млрд. щатски долара от откупи само за една година.

Сред жертвите на REvil и нейните партньори са Quanta, тайванска компания, която доставя оборудване за центровете за данни на Apple. Нападателите твърдяха, че са успели да откраднат критична документация на Apple, за която са поискали около 50 млн. долара. Не се знае дали откупът е платен, но всички препратки към атаката срещу Quanta / Apple изчезнаха от уебсайта на групировката.

В началото на 2021 г. REvil обяви, че е провела успешна атака срещу Acer Corporation, един от най-големите световни производители на електроника. Твърдеше се, че исканият откуп е бил 50 млн. долара.