گروه بدنام باجافزار REvil دوباره راهاندازی شده و موج جدیدی از حملات باجافزار را نوید میدهد.
REvil، یک عملیات قدرتمند باجافزار بهعنوان یک سرویس (RaaS) که برای اولین بار در پایان آوریل 2019 منتشر شد، بازگشته است. پس از شش ماه عدم فعالیت – به دنبال حمله مقامات روسی – به نظر می رسد که گروه باج افزار فعالیت خود را از سر گرفته است.
تجزیه و تحلیل نمونههای باجافزار جدید نشان میدهد که توسعهدهنده به کد منبع REvil دسترسی دارد، به این معنی که گروه تهدید دوباره ظهور کرده است. زمانی که سایت خدمه باج افزار در تاریک وب راه اندازی شد، این سوء ظن ها بیشتر تقویت شد.
قبلاً گروههای باجافزار زیادی را دیدهایم، اما چه چیزی REvil را خاص میکند؟ بازگشت این گروه چه معنایی برای دنیای سایبری دارد؟ بیایید دریابیم!
چه چیزی باج افزار REvil را منحصر به فرد می کند؟
REvil به دلیل دنبال کردن اهداف پردرآمد و پردرآمد و درخواست پرداختهای گزاف از قربانیان خود شهرت پیدا کرد. همچنین یکی از اولین گروه هایی است که تاکتیک اخاذی مضاعف را اتخاذ کرد که در آن داده های قربانی را استخراج و رمزگذاری کردند.
طرح باجافزار اخاذی مضاعف به REvil این امکان را میدهد تا برای سود مالی بالا دو باج بخواهد. در مصاحبه ای با OSINT روسی، توسعه دهندگان گروه ادعا کردند که با هدف قرار دادن شرکت های بزرگ بیش از 100 میلیون دلار در یک سال به دست آورده اند. با این حال، تنها کسری از آن به توسعه دهندگان رسید، در حالی که شرکت های وابسته سهم شیر را داشتند.
حملات عمده باج افزار REvil
گروه باجافزار REvil پشت برخی از بزرگترین حملات باجافزار 2020-21 بوده است. این گروه اولین بار در سال 2020 با حمله به Travelex در کانون توجه قرار گرفت و در نهایت منجر به نابودی شرکت شد. سال بعد، REvil با انجام حملات سایبری بسیار سودآور که زیرساختهای عمومی و زنجیرههای تامین را مختل کرد، شروع به تبدیل شدن به تیتر خبرها کرد.
این گروه به شرکت هایی مانند Acer، Quanta Computer، JBS Foods و مدیریت فناوری اطلاعات و ارائه دهنده نرم افزار Kaseya حمله کرد. این گروه احتمالاً با حمله بدنام خط لوله استعماری، که زنجیره تامین سوخت در ایالات متحده را مختل کرد، ارتباط داشت.
پس از حمله باجافزار Kaseya REvil، این گروه مدتی سکوت کرد تا توجه ناخواستهای را که به خود جلب کرده بود کاهش دهد. گمانه زنی های زیادی وجود داشت مبنی بر اینکه این گروه در حال برنامه ریزی یک سری حملات جدید در تابستان 2021 بود، اما مجری قانون برنامه های دیگری برای اپراتورهای REvil داشت.
روز حسابرسی برای باند سایبری REvil
با ظهور مجدد باجافزار بدنام برای حملات جدید، زیرساختهای خود را در معرض خطر قرار دادند و علیه آنها روی آوردند. در ژانویه 2022، سرویس امنیت دولتی روسیه FSB اعلام کرد که به درخواست ایالات متحده فعالیت های این گروه را مختل کرده است.
چندین عضو باند دستگیر و دارایی های آنها از جمله میلیون ها دلار آمریکا، یورو و روبل و همچنین 20 خودروی لوکس و کیف پول رمزنگاری شده توقیف شد. دستگیری باج افزار REvil در اروپای شرقی، از جمله لهستان، جایی که مقامات مظنون به حمله Kaseya را نگه داشتند، انجام شد.
سقوط REvil پس از دستگیری اعضای کلیدی گروه به طور طبیعی در جامعه امنیتی مورد استقبال قرار گرفت و بسیاری تصور می کردند که تهدید به طور کامل از بین رفته است. با این حال، احساس آرامش کوتاه مدت بود زیرا این باند اکنون عملیات خود را از سر گرفته است.
تجدید حیات باج افزار REvil
محققان Secureworks یک نمونه بدافزار را در ماه مارس تجزیه و تحلیل کردند و اشاره کردند که این باند ممکن است دوباره وارد عمل شود. محققان دریافتند که توسعه دهنده احتمالاً به کد منبع اصلی استفاده شده توسط REvil دسترسی دارد.
دامنه مورد استفاده توسط وب سایت نشت REvil نیز دوباره شروع به کار کرد، اما اکنون بازدیدکنندگان را به یک URL جدید هدایت می کند که در آن بیش از 250 سازمان قربانی REvil لیست شده اند. این لیست شامل ترکیبی از قربانیان قدیمی REvil و چند هدف جدید است.
Oil India – یک شرکت تجاری نفت هند – برجسته ترین قربانیان جدید بود. این شرکت نقض اطلاعات را تایید کرد و با درخواست 7.5 میلیون دلار باج مواجه شد. در حالی که این حمله باعث گمانه زنی هایی شد مبنی بر اینکه REvil در حال از سرگیری عملیات است، هنوز سوالاتی در مورد اینکه آیا این یک عملیات کپی برداری است وجود داشت.
تنها راه برای تایید بازگشت REvil این بود که نمونه ای از رمزگذار عملیات باج افزار را پیدا کنید و ببینید که آیا از کد منبع اصلی کامپایل شده است یا خیر.
در اواخر آوریل، محقق Avast، Jakub Kroustek، رمزگذار باجافزار را کشف کرد و تأیید کرد که در واقع یک نوع REvil است. نمونه فایلها را رمزگذاری نکرد، اما یک پسوند تصادفی به فایلها اضافه کرد. تحلیلگران امنیتی گفتند که این یک باگ است که توسط توسعه دهندگان باج افزار معرفی شده است.
چندین تحلیلگر امنیتی اظهار کرده اند که نمونه باج افزار جدید با کد منبع اصلی مرتبط است، به این معنی که شخصی از باند – به عنوان مثال، یک توسعه دهنده اصلی – باید درگیر شده باشد.
ترکیب گروه REvil’s
ظهور مجدد REvil پس از دستگیری های ادعایی در اوایل سال جاری سوالاتی را در مورد ترکیب این گروه و روابط آن با دولت روسیه ایجاد کرده است. این باند به دلیل دیپلماسی موفق ایالات متحده قبل از شروع درگیری روسیه و اوکراین تاریک شد.
برای بسیاری، تجدید حیات ناگهانی این گروه نشان می دهد که روسیه ممکن است بخواهد از آن به عنوان یک نیروی چند برابر کننده در تنش های ژئوپلیتیکی جاری استفاده کند.
از آنجایی که هنوز فردی شناسایی نشده است، مشخص نیست چه کسی پشت این عملیات است. آیا اینها همان افرادی هستند که عملیات های قبلی را اداره می کردند یا گروه جدیدی اداره می شود؟
ترکیب گروه کنترل هنوز یک راز است. اما با توجه به دستگیریهای اوایل سال جاری، این احتمال وجود دارد که این گروه ممکن است چند اپراتور داشته باشد که قبلاً بخشی از REvil نبودند.
برای برخی از تحلیلگران، غیرعادی نیست که گروههای باجافزار از کار افتاده و به اشکال دیگر دوباره ظاهر شوند. با این حال، نمیتوان این احتمال را که کسی از اعتبار برند برای ایجاد جای پایی استفاده میکند، کاملاً از بین برد.
محافظت در برابر حملات Ransomware REvil
دستگیری پادشاه REvil روز بزرگی برای امنیت سایبری بود، به ویژه زمانی که گروههای باجافزار همه چیز را از موسسات دولتی گرفته تا بیمارستانها و مدارس هدف قرار میدادند. اما همانطور که با هر گونه اختلال در فعالیت های مجرمانه آنلاین مشاهده می شود، این به معنای پایان همه گیری باج افزار نیست.
خطر در مورد REvil، طرح اخاذی مضاعف است که در آن گروه سعی میکند دادههای شما را بفروشد و وجهه برند و روابط مشتری را خدشهدار کند.
به طور کلی، یک استراتژی خوب برای مقابله با چنین حملاتی ایمن سازی شبکه و انجام آزمایش های شبیه سازی است. یک حمله باج افزار اغلب به دلیل آسیب پذیری های اصلاح نشده رخ می دهد و حملات شبیه سازی می تواند به شما در شناسایی آنها کمک کند.
یکی دیگر از استراتژی های کاهش دهنده کلیدی این است که همه را قبل از دسترسی به شبکه شما تأیید کنید. به این ترتیب، یک استراتژی اعتماد صفر میتواند سودمند باشد، زیرا بر اساس این اصل اساسی کار میکند که هرگز به کسی اعتماد نمیکند و هر کاربر و دستگاه را قبل از دسترسی به منابع شبکه تأیید میکند.