Всех приветствую ,начинаю серию историй про крупные дарк группировки ,предложить группировку в качестве новой статьи можно в комментариях.. Вводную информацию прочитали ,теперь можно перейти и к самой статьи ,приятного чтения;)
REvil - Это организованная группа киберпреступников, предоставляющая услуги программ-вымогателей. В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog.
Хронология
2017 год:
В начале своей деятельности Revil сосредоточилась на криптовалютных хищениях, используя вредоносный софт, который позволял им взламывать еще незащищенные биржи и кошельки.
2018 год:
В 2018 году группировка начала активно использовать технологию рансомваров , которые блокировали доступ к важным данным компаний и организаций, требуя выкуп в обмен на их разблокировку. Первым известным случаем ее использования стал рансомвар GandCrab, который заработал более $2 млрд до закрытия в 2019 году.
2019 год:
В 2019 году Revil усилила свою деятельность, взламывая крупные компании и вымогая выкупы. Один из самых известных случаев - кибератака на компанию Travelex, которую группировка взломала и потребовала выкуп в $3 млн.
2020 год:
В 2020 году Revil стала часто использовать технологию атаки на удаленные рабочие станции (RDP-атаки), которые позволяют им получить доступ к важным данных компаний. Более того, группировка начала продавать украденные данные на подпольных форумах.
2021 год:
В 2021 году Revil активно атаковала торговые сети, такие как Acer и Quanta Computer, которые поставляли оборудование для Apple и других крупных компаний. В марте того же года группировка взломала популярного хостинг-провайдера MSP, получив доступ к множеству компаний-клиентов.
Однако, в июля 2021 года, после того как группировка атаковала крупную американскую IT-компанию Kaseya, с целью заражения более 1 500 компаний в разных странах мира, она вышла из строя, а ее лидеры исчезли без следа. Большинство специалистов в области кибербезопасности полагают, что группировка прекратила свою деятельность, но это не гарантирует, что она не возобновит своих действий в будущем.
Крупная атака
Одной из самых крупных атак группы REvil, которая произошла в июле 2021 года, стала атака на компанию Kaseya, которая предоставляет программное обеспечение для управления информационной технологией для других компаний. Киберпреступники использовали уязвимость в одном из продуктов Kaseya и атаковали около 50 вендоров, которые в свою очередь обслуживали тысячи малых и средних компаний по всему миру.
Киберпреступники шифровали данные на серверах атакованных компаний, а затем потребовали выкуп, чтобы вернуть данные. Сумма выкупа составляла $70 миллионов. Компания Kaseya была вынуждена закрыть свои сервера после атаки, чтобы предотвратить дальнейшее распространение вируса.
Количество пострадавших компаний оценивается в несколько тысяч. В результате атаки был оказан значительный экономический ущерб для компаний, поскольку многие из них вынуждены были закрыть свои бизнесы на неопределенный срок из-за неспособности восстановить доступ к своим данным.
Инструменты
1. Kaseya VSA - Ранее использовали уязвимость Kaseya VSA для выполнения массовой атаки на множество жертв одновременно.
2. PowerShell - PowerShell — это сценарный язык Windows для автоматизации и управления системами в среде Windows. REvil используют PowerShell для создания вредоносных скриптов и инструментов.
3. Cobalt Strike — Cobalt Strike — инструментарий для проверки на проникновения и тестирование на проникновения, который контролирует сервер и предоставляет пользователю несколько различных функций для выполнения проникновений.
4. Mimikatz — Mimikatz — это инструмент для извлечения логинов и паролей из системы.
5. MimiKatz - это утилита для работы со службой безопасности Windows, которая позволяет считывать, хранить и потом вернуть в специальном файле аутентификационные данные пользователей, которые были защищены.
6. Расшифровщик - REvil используют расшифровщик для расшифровки файлов, которые они захватили во время атаки, и пытаются продать жертвам своей атаки – инструмент предназначен для вымогательства денег.
Это некоторые из инструментов, которые использует REvil, их уровень знаний и опыта позволяет им быстро разобраться с языком и деталями технологии.
Конец истории
В пятницу, 14 января, ФСБ отчиталась о пресечении деятельности преступного сообщества, члены которого с помощью вредоносных программ похищали деньги со счетов иностранных граждан и компаний. Речь идет о группировке REvil, и в результате действий спецслужбы и МВД она «прекратила существование», а ее информационная структура была «нейтрализована», уверены в ведомстве.
Следственные действия прошли по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях; были установлены 14 членов группы, сообщили в ФСБ. В ходе обысков было изъято более 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс., 20 автомобилей премиум-класса, а также компьютерная техника и криптокошельки, которые использовались для совершения преступлений.
«Основанием для разыскных мероприятий послужило обращение компетентных органов США», — уточнили в ФСБ. Именно они сообщили российским правоохранительным органам о лидере преступного сообщества и посягательствах на информационные ресурсы «зарубежных высокотехнологичных компаний», в том числе путем «шифрования информации и вымогательства денежных средств за ее дешифрование».
«Пожалуй, это одна из самых значимых операций специальных служб России в области борьбы с киберпреступностью за последние годы», — сказал РБК руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
Заключение
Группа REvil являлась одним из старейших и самых агрессивных игроков на рынке программ-вымогателей,которая сделала на рынок значительный вклад.
REvil - Это организованная группа киберпреступников, предоставляющая услуги программ-вымогателей. В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog.
Хронология
2017 год:
В начале своей деятельности Revil сосредоточилась на криптовалютных хищениях, используя вредоносный софт, который позволял им взламывать еще незащищенные биржи и кошельки.
2018 год:
В 2018 году группировка начала активно использовать технологию рансомваров , которые блокировали доступ к важным данным компаний и организаций, требуя выкуп в обмен на их разблокировку. Первым известным случаем ее использования стал рансомвар GandCrab, который заработал более $2 млрд до закрытия в 2019 году.
2019 год:
В 2019 году Revil усилила свою деятельность, взламывая крупные компании и вымогая выкупы. Один из самых известных случаев - кибератака на компанию Travelex, которую группировка взломала и потребовала выкуп в $3 млн.
2020 год:
В 2020 году Revil стала часто использовать технологию атаки на удаленные рабочие станции (RDP-атаки), которые позволяют им получить доступ к важным данных компаний. Более того, группировка начала продавать украденные данные на подпольных форумах.
2021 год:
В 2021 году Revil активно атаковала торговые сети, такие как Acer и Quanta Computer, которые поставляли оборудование для Apple и других крупных компаний. В марте того же года группировка взломала популярного хостинг-провайдера MSP, получив доступ к множеству компаний-клиентов.
Однако, в июля 2021 года, после того как группировка атаковала крупную американскую IT-компанию Kaseya, с целью заражения более 1 500 компаний в разных странах мира, она вышла из строя, а ее лидеры исчезли без следа. Большинство специалистов в области кибербезопасности полагают, что группировка прекратила свою деятельность, но это не гарантирует, что она не возобновит своих действий в будущем.
Крупная атака
Одной из самых крупных атак группы REvil, которая произошла в июле 2021 года, стала атака на компанию Kaseya, которая предоставляет программное обеспечение для управления информационной технологией для других компаний. Киберпреступники использовали уязвимость в одном из продуктов Kaseya и атаковали около 50 вендоров, которые в свою очередь обслуживали тысячи малых и средних компаний по всему миру.
Киберпреступники шифровали данные на серверах атакованных компаний, а затем потребовали выкуп, чтобы вернуть данные. Сумма выкупа составляла $70 миллионов. Компания Kaseya была вынуждена закрыть свои сервера после атаки, чтобы предотвратить дальнейшее распространение вируса.
Количество пострадавших компаний оценивается в несколько тысяч. В результате атаки был оказан значительный экономический ущерб для компаний, поскольку многие из них вынуждены были закрыть свои бизнесы на неопределенный срок из-за неспособности восстановить доступ к своим данным.
Инструменты
1. Kaseya VSA - Ранее использовали уязвимость Kaseya VSA для выполнения массовой атаки на множество жертв одновременно.
2. PowerShell - PowerShell — это сценарный язык Windows для автоматизации и управления системами в среде Windows. REvil используют PowerShell для создания вредоносных скриптов и инструментов.
3. Cobalt Strike — Cobalt Strike — инструментарий для проверки на проникновения и тестирование на проникновения, который контролирует сервер и предоставляет пользователю несколько различных функций для выполнения проникновений.
4. Mimikatz — Mimikatz — это инструмент для извлечения логинов и паролей из системы.
5. MimiKatz - это утилита для работы со службой безопасности Windows, которая позволяет считывать, хранить и потом вернуть в специальном файле аутентификационные данные пользователей, которые были защищены.
6. Расшифровщик - REvil используют расшифровщик для расшифровки файлов, которые они захватили во время атаки, и пытаются продать жертвам своей атаки – инструмент предназначен для вымогательства денег.
Это некоторые из инструментов, которые использует REvil, их уровень знаний и опыта позволяет им быстро разобраться с языком и деталями технологии.
Конец истории
В пятницу, 14 января, ФСБ отчиталась о пресечении деятельности преступного сообщества, члены которого с помощью вредоносных программ похищали деньги со счетов иностранных граждан и компаний. Речь идет о группировке REvil, и в результате действий спецслужбы и МВД она «прекратила существование», а ее информационная структура была «нейтрализована», уверены в ведомстве.
Следственные действия прошли по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях; были установлены 14 членов группы, сообщили в ФСБ. В ходе обысков было изъято более 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс., 20 автомобилей премиум-класса, а также компьютерная техника и криптокошельки, которые использовались для совершения преступлений.
«Основанием для разыскных мероприятий послужило обращение компетентных органов США», — уточнили в ФСБ. Именно они сообщили российским правоохранительным органам о лидере преступного сообщества и посягательствах на информационные ресурсы «зарубежных высокотехнологичных компаний», в том числе путем «шифрования информации и вымогательства денежных средств за ее дешифрование».
«Пожалуй, это одна из самых значимых операций специальных служб России в области борьбы с киберпреступностью за последние годы», — сказал РБК руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
Заключение
Группа REvil являлась одним из старейших и самых агрессивных игроков на рынке программ-вымогателей,которая сделала на рынок значительный вклад.