REvil була однією з найплідніших кампаній-вимагачів як послуг за останній час. Серед їхніх жертв по всьому світу стали тисячі технологічних компаній, постачальників керованих послуг і організацій з усіх галузей. Bitdefender складає попередній баланс компанії-вимагача.
Співпраця між органами безпеки та ІТ-фахівцями привела до великих успіхів у другій половині 2021 року. Спільні зусилля були необхідні, оскільки кіберзлочинці також успішно співпрацювали. Експерти Bitdefender Labs оцінюють – можливо, лише тимчасову – невдачу успішної хвилі програм-вимагачів як послуг.
Міжнародні страйки проти прихильників REvil
Зовсім нещодавно міжнародні слідчі завдали серйозних ударів проти злочинних прихильників REvil: під час рейду в листопаді 2021 року Міністерство юстиції США заарештувало так званих афілійованих осіб, тобто партнерів або учасників мережі REvil, і конфіскувало близько шести мільйонів доларів США. доларів у формі викупу. Потім, у січні 2022 року, російська внутрішня розвідка ФСБ і російська поліція заарештували чотирнадцять інших підозрюваних учасників REvil і вилучили додаткові багатомільйонні фінансові активи.
Програмне забезпечення-вимагач як бізнес-модель
В очах російської влади одна з найуспішніших груп програм-вимагачів з річним обсягом продажів 100 мільйонів доларів США та часткою ринку 16,5 відсотка була розгромлена. Щоб досягти такого результату, оператори RaaS атакували широкий спектр галузей, зокрема виробництво, юридичні послуги та будівництво (див. рис. 1). Угода спочатку процвітала та забезпечила значні прибутки для тих, хто був залучений: Bitdefender оцінює, що близько десяти основних членів і в години пік близько 60 інших партнерів брали участь у акціях. Останні отримували від 70 до 80 відсотків прибутку.
Зріла компанія
Галузі, на які націлена програма-вимагач REvil (Зображення: Bitdefender).
REvil яскраво демонструє силу та ступінь організованості злочинних моделей програм-вимагачів як послуг. У партнерській мережі розробники, зловмисники та ті, хто проводив тести на проникнення, а також збирачі викупів тісно співпрацювали, а також думали про інфраструктуру для збирання узгоджених сум. Вони навіть створили підтримку для жертв, які були готові платити: вони могли заплатити викуп через портал. Крім того, співробітники кримінальної служби консультували атаковані організації щодо придбання криптовалюти або допомагали їм використовувати TOR-браузер.
Кримінальне середовище також винагороджує компетентність
Якість виділяється в неформальній економіці. Це було очевидно в групі REvil: чим кращим ставав код шкідливого програмного забезпечення та пов’язані з ним служби, тим більше професійних партнерів приєднувалося до успішної моделі. Подальші вдосконалення зробили ще більше корисних цілей у межах досяжності зловмисника. Актори отримали вищі викупи, які вони негайно реінвестували в RaaS: у нові послуги або в нових співробітників. Злочинні спільники часто були затребуваними професіоналами, які переходили від одного афілійованого партнера до іншого.
Діалог жертви як спілкування з клієнтом
Кіберзлочинці зверталися до своїх жертв як до клієнта. Тож вони вимагали викуп за фіксованою схемою, відрізнялися лише ключі та URL. Збирачі викупів також намагалися вселити довіру до жертв. Індивідуальне привітання («Ласкаво просимо ») належав до «доброго тону». Тоді з початку 2020 року зловмисники дали нібито гарантію, що їхній власний дешифратор REvil працюватиме краще, ніж дешифратор іншої злочинної організації. Він обіцяв майже 100% відновлення порівняно з лише 87%.
Постановка погроз
Спільна робота – спільний прибуток – інституціоналізована операція: модель програми-вимагача як послуги (Зображення: Bitdefender).
З іншого боку, партнери RaaS створили багаторівневий потенціал загроз, у якому шифрування було лише частиною з кількох. Посилаючись на Європейський загальний регламент захисту даних, вони не лише погрожували зашифрувати дані, а й розкрити їх. Це призвело б до зобов’язання повідомляти, шкоди вашому іміджу, яку не можна недооцінювати, і, в гіршому випадку, штрафу. Якщо викуп не було сплачено, злочинці систематично посилювали тиск, публікували витік даних, а потім вимагали викуп, щоб зупинити цей процес. Третім рівнем ескалації стали розподілені атаки типу «відмова в обслуговуванні» на жертв та їхніх бізнес-партнерів.
Крах REvil
На додаток до тиску переслідування та наявності дешифраторів, також розроблених Bitdefender, внутрішні фактори також сприяли уповільненню успіху REvil з осені 2021 року. Процес розподілу роботи, такий як RaaS, ґрунтується на репутації та взаємній довірі учасників. Мабуть, ініціатори REvil втратили необхідну репутацію в середовищі кіберзлочинців. З одного боку, це сталося через їхню провокаційну та гучну поведінку, яка порушувала кодекс поведінки в кіберзлочинному підпіллі. З іншого боку, напад на галузь охорони здоров’я чи фармацевтичних виробників і дослідників ліків під час пандемії не обійшовся без суперечок серед кримінальної напівпубліки. Злочинці старої школи вважали це контрпродуктивним і сподівалися, що ці компанії швидко розроблять протиотруту, оскільки тоді економіка відновиться швидше і знову можна буде вимагати вищі викупи.
Загальні та міжнародні оборонні роботи
Комплекс REvil показав, що лише спільна відповідь допомагає проти групи кіберзлочинців: з технологічного боку, поєднання технологій і послуг, таких як кероване виявлення та реагування (MDR), евристичний аналіз і машинне навчання, з одного боку, як а також знання, досвід та інтуїція експертів з ІТ-безпеки, з іншого боку. Такі інструменти, як дешифратори, також зробили свій внесок. Завдяки інструменту дешифрування, випущеному Bitdefender восени 2021 року, 1.400 компаній змогли самостійно розшифрувати файли загальною вартістю півмільярда доларів США. З кадрового боку важлива тісна співпраця між суб’єктами державного та приватного секторів у сфері ІТ-безпеки. І це в усьому світі, тому що кіберзлочинність не знає національних кордонів.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de