REvil
REvil (аббревиатура от Ransomware Evil, также известная как Sodinokibi) — это хакерская группа, занимавшаяся разработкой и распространением программ-вымогателей (ransomware) с целью вымогательства денежных средств у организаций и частных лиц. Группировка действовала с 2019 по 2021 год, используя модель «вымогательство как услуга» (RaaS), при которой разработчики предоставляли вредоносное программное обеспечение аффилированным лицам за процент от выкупа. REvil считается одной из самых крупных и опасных киберпреступных организаций своего времени, атаковавшая сотни жертв по всему миру, включая государственные структуры, крупные корпорации и критическую инфраструктуру. Деятельность REvil привлекла внимание международных правоохранительных органов, что привело к арестам её участников в 2021–2022 годах.
История
Происхождение и ранние атаки
REvil впервые появилась в апреле 2019 года, когда эксперты по кибербезопасности обнаружили новую версию программы-вымогателя, получившую название Sodinokibi. Считается, что группа возникла на основе остатков другой известной хакерской группировки — GandCrab, которая прекратила свою деятельность в 2019 году. Некоторые исследователи полагают, что REvil могла быть создана теми же разработчиками, что и GandCrab, из-за схожести кода, методов шифрования и тактик вымогательства.
Первые атаки REvil были направлены на небольшие компании и государственные учреждения в США, Европе и Азии. В мае 2019 года группа атаковала муниципальные власти города Техас-Сити (США), потребовав выкуп в размере 2,5 миллиона долларов. В 2020 году REvil расширила свою деятельность, начав атаковать крупные корпорации, включая производителя косметики Estée Lauder и юридическую фирму Grubman Shire Meiselas & Sacks, у которой были украдены данные о знаменитостях.
Пик активности в 2021 году
Наибольшую известность REvil получила в 2021 году, когда совершила серию громких атак. В мае 2021 года группа атаковала крупнейшего в мире поставщика мяса — бразильскую компанию JBS. В результате атаки были остановлены заводы JBS в США, Канаде и Австралии, что привело к временным перебоям в поставках мяса. JBS выплатила выкуп в размере 11 миллионов долларов в биткойнах, чтобы восстановить свои системы.
В июле 2021 года REvil совершила одну из самых масштабных атак в истории — на поставщика IT-услуг Kaseya. Используя уязвимость в программном обеспечении Kaseya VSA, группа заразила программы-вымогателями более 1500 клиентов компании по всему миру, включая школы, супермаркеты и государственные учреждения. REvil потребовала выкуп в размере 70 миллионов долларов в биткойнах за универсальный ключ дешифрования. Атака на Kaseya привлекла внимание президента США Джо Байдена, который заявил о необходимости принятия мер против киберпреступности.
Спад и прекращение деятельности
После атаки на Kaseya давление на REvil со стороны правоохранительных органов усилилось. В октябре 2021 года сайты группы в даркнете (включая блог для утечек данных) внезапно исчезли, что было расценено как временное прекращение деятельности. В январе 2022 года Федеральная служба безопасности (ФСБ) России сообщила о задержании 14 участников REvil по запросу США. По данным ФСБ, у задержанных были изъяты криптовалютные средства на сумму более 5 миллионов долларов, а также компьютерное оборудование и документы. В ходе расследования выяснилось, что группа действовала с территории России, а её лидеры, предположительно, находились в Москве и Санкт-Петербурге. После арестов REvil фактически прекратила своё существование, хотя отдельные аффилированные лица могли продолжить деятельность под другими названиями.
Классификация и модель деятельности
Вымогательство как услуга (RaaS)
REvil действовала по модели RaaS, которая является одной из наиболее распространённых в современной киберпреступности. В рамках этой модели разработчики вредоносного ПО (core developers) создавали и поддерживали программу-вымогатель, а аффилированные лица (affiliates) занимались её распространением и взломом сетей жертв. Аффилированные лица получали от 70% до 80% суммы выкупа, а разработчики — оставшуюся часть. Это позволяло REvil масштабировать атаки, привлекая множество участников без необходимости иметь собственную инфраструктуру для взлома.
Двойное вымогательство
REvil применяла тактику двойного вымогательства (double extortion), которая стала стандартом для современных программ-вымогателей. Перед шифрованием данных группа похищала конфиденциальную информацию жертвы (например, финансовые отчёты, персональные данные клиентов, коммерческие тайны). Затем, если жертва отказывалась платить выкуп, REvil публиковала украденные данные на своём сайте в даркнете, называемом «Happy Blog». Это создавало дополнительное давление на жертву, поскольку утечка данных могла привести к репутационным потерям, судебным искам и штрафам со стороны регуляторов.
Технические характеристики
Программа-вымогатель Sodinokibi
Вредоносное ПО REvil, известное как Sodinokibi, использовало алгоритмы шифрования AES (Advanced Encryption Standard) и RSA (Rivest–Shamir–Adleman) для блокирования файлов на заражённых системах. Программа распространялась через фишинговые письма, эксплойты для уязвимостей в программном обеспечении (например, в Microsoft Exchange и VPN-серверах) и через скомпрометированные учётные записи удалённого рабочего стола (RDP). После заражения Sodinokibi удаляла теневые копии файлов и отключала системы восстановления, чтобы затруднить восстановление данных без выкупа.
Инфраструктура и анонимность
REvil использовала сложную инфраструктуру для обеспечения анонимности. Группа размещала свои серверы в даркнете, используя сеть Tor, и принимала выкупы исключительно в криптовалютах (преимущественно биткойнах и Monero). Для связи с жертвами и публикации утечек REvil использовала собственный блог, который был доступен только через Tor. Группа также применяла методы социальной инженерии, включая угрозы физической расправы в случае невыплаты выкупа, хотя такие угрозы редко подтверждались.
Примеры атак
Атака на JBS (2021)
В мае 2021 года REvil атаковала JBS, крупнейшего в мире производителя мяса. Атака затронула заводы в США, Канаде и Австралии, что привело к временной остановке производства. JBS выплатила выкуп в размере 11 миллионов долларов, после чего группа предоставила ключ дешифрования. Атака на JBS продемонстрировала уязвимость критической инфраструктуры и вызвала обеспокоенность правительств по поводу продовольственной безопасности.
Атака на Kaseya (2021)
В июле 2021 года REvil использовала уязвимость нулевого дня (zero-day) в программном обеспечении Kaseya VSA, которое используется для удалённого управления IT-инфраструктурой. Атака затронула более 1500 клиентов Kaseya, включая школы, супермаркеты и государственные учреждения. REvil потребовала выкуп в размере 70 миллионов долларов, но в итоге предоставила универсальный ключ дешифрования после того, как один из аффилированных лиц передал его за 5 миллионов долларов. Атака на Kaseya стала одной из самых масштабных в истории по числу затронутых жертв.
Атака на Estée Lauder (2020)
В 2020 году REvil атаковала косметическую компанию Estée Lauder, похитив данные о клиентах и финансовые отчёты. Группа потребовала выкуп, угрожая опубликовать украденные данные. Estée Lauder подтвердила факт атаки, но не раскрыла сумму выплаченного выкупа. Атака на Estée Lauder показала, что REvil не ограничивается только правительственными учреждениями, но также атакует частные компании.
Критика и правовые последствия
Международное расследование
Деятельность REvil вызвала критику со стороны правительств США, Европейского союза и других стран, которые обвиняли Россию в укрывательстве киберпреступников. В 2021 году президент США Джо Байден поднял вопрос о REvil на переговорах с президентом России Владимиром Путиным, потребовав принять меры против группировки. В январе 2022 года ФСБ России задержала 14 участников REvil, что было расценено как результат давления со стороны США. Однако некоторые эксперты выразили сомнения в том, что все задержанные были ключевыми фигурами, а не рядовыми аффилированными лицами.
Юридические последствия для участников
После арестов участников REvil в России и других странах (включая Румынию и Южную Корею) начались судебные процессы. В 2022 году в США были предъявлены обвинения нескольким гражданам России, подозреваемым в причастности к REvil, включая Ярослава Васильева (предположительно, одного из лидеров группы). Однако экстрадиция задержанных в США остаётся маловероятной из-за отсутствия двустороннего соглашения между Россией и США об экстрадиции.
Влияние на кибербезопасность
Атаки REvil привели к усилению мер кибербезопасности в компаниях и государственных учреждениях. В частности, после атаки на Kaseya многие организации начали внедрять политики нулевого доверия (zero trust) и регулярно обновлять программное обеспечение для защиты от уязвимостей. REvil также способствовала развитию рынка страхования от киберрисков, который стал более строгим в отношении требований к безопасности клиентов.
Интересные факты
- Название REvil является аббревиатурой от Ransomware Evil, что переводится как «вымогательское зло».
- REvil использовала псевдоним «UNKN» для общения с жертвами и журналистами, что делало её участников трудноидентифицируемыми.
- В 2021 году группа предложила скидку в 50% на выкуп для жертв, которые заплатят в течение 24 часов, что было необычной тактикой для программ-вымогателей.
- После атаки на Kaseya REvil временно прекратила деятельность, но в октябре 2021 года её сайты снова заработали, что указывало на возможное возобновление атак. Однако после арестов в январе 2022 года группа окончательно исчезла.
Источники
- Отчёт ФСБ России о задержании участников REvil, январь 2022 года.
- Доклад компании «Group-IB» о деятельности REvil, 2021 год.
- Статья «The Ransomware Economy: How REvil Operates» в журнале «Wired», 2021 год.
- Публикация «REvil Ransomware: A Technical Analysis» от компании «Kaspersky Lab», 2020 год.
- Материалы расследования Министерства юстиции США по делу REvil, 2022 год.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →