REvil, en formidabel Ransomware-as-a-Service (RaaS) operation som först kom i dagen i slutet av april 2019, har kommit tillbaka. Efter sex månaders inaktivitet – efter de ryska myndigheternas razzia – verkar ransomware-gruppen ha återupptagit sin verksamhet.
Analys av nya ransomware-prover avslöjar att utvecklaren har tillgång till REvils källkod, vilket innebär att hotgruppen har återuppstått. Dessa misstankar förstärktes ytterligare när ransomware-teamets webbplats återlanserades på den mörka webben.
Vi har sett massor av ransomware-grupper tidigare, men vad gör REvil speciell? Vad betyder gruppens återkomst för cybervärlden? Låt oss ta reda på!
Vad gör REvil Ransomware unikt?
REvil byggde upp ett rykte om att gå efter högprofilerade och mycket lukrativa mål och kräva orimliga betalningar från sina offer. Det är också en av de första grupperna som anammat den dubbla utpressningstaktiken där de exfiltrerade offrets data och krypterade den.
De dubbel utpressning ransomware systemet tillåter REvil att kräva två lösensummor för stora ekonomiska vinster. I en intervju med
Ryska OSINT, hävdade grupputvecklarna att de tjänade mer än 100 miljoner dollar på ett år genom att rikta in sig på stora företag. Men bara en bråkdel av det gick till utvecklarna, medan affiliates fick lejonparten.Stora REvil Ransomware-attacker
REvil ransomware-gruppen har legat bakom några av de största ransomware-attackerna 2020-21. Gruppen kom först i rampljuset 2020 när den attackerade Travelex, vilket i slutändan ledde till företagets bortgång. Året därpå började REvil skapa rubriker genom att iscensätta mycket lukrativa cyberattacker som störde offentlig infrastruktur och leveranskedjor.
Gruppen attackerade företag som Acer, Quanta Computer, JBS Foods och IT-hanterings- och mjukvaruleverantören Kaseya. Gruppen hade förmodligen några länkar till ökända Colonial Pipeline attack, vilket störde bränsleförsörjningskedjan i USA.
Efter Kaseya REvil ransomware-attacken tystnade gruppen en tid för att mildra den oönskade uppmärksamheten den hade väckt till sig själv. Det fanns många spekulationer om att gruppen planerade en ny serie attacker sommaren 2021, men brottsbekämpningen hade andra planer för REvils operatörer.
Räkenskapsdagen för REvil Cyber Gang
När det ökända ransomware-gänget dök upp igen för nya attacker upptäckte de att deras infrastruktur äventyrades och vände sig mot dem. I januari 2022 meddelade den ryska statliga säkerhetstjänsten FSB att den hade stört gruppens aktiviteter på begäran av USA.
Flera gängmedlemmar greps och deras tillgångar beslagtogs, inklusive miljontals amerikanska dollar, euro och rubel, samt 20 lyxbilar och plånböcker i kryptovaluta. REvil ransomware-gripanden gjordes också i östra Europa, inklusive Polen, där myndigheterna höll en misstänkt för Kaseya-attacken.
REvils fall efter arresteringarna av nyckelgruppmedlemmar välkomnades naturligtvis i säkerhetsgemenskapen, och många antog att hotet hade passerat helt. Känslan av lättnad blev dock kortvarig då gänget nu har återupptagit sin verksamhet.
Resurgence of REvil Ransomware
Forskare från Secureworks analyserade ett prov från skadlig programvara från mars och antydde att gänget kan vara tillbaka i aktion. Forskarna fann att utvecklaren sannolikt har tillgång till den ursprungliga källkoden som används av REvil.
Domänen som används av REvil Leak-webbplatsen började också fungera igen, men den omdirigerar nu besökare till en ny URL där mer än 250 REvil-offerorganisationer är listade. Listan innehåller en blandning av REvils gamla offer och några nya mål.
Oil India – ett indiskt petroleumföretag – var det mest framstående av de nya offren. Företaget bekräftade dataintrånget och fick ett krav på lösen på 7,5 miljoner dollar. Även om attacken orsakade spekulationer om att REvil återupptog sin verksamhet, fanns det fortfarande frågor om huruvida detta var en kopieringsoperation.
Det enda sättet att bekräfta REvils återkomst var att hitta ett prov av ransomware-operationens kryptering och se om den kompilerades från den ursprungliga källkoden.
I slutet av april upptäckte Avast-forskaren Jakub Kroustek ransomware-krypteringen och bekräftade att det verkligen var en REvil-variant. Provet krypterade inte filer utan lade till ett slumpmässigt tillägg till filer. Säkerhetsanalytiker sa att det var en bugg som introducerades av ransomware-utvecklarna.
Flera säkerhetsanalytiker har sagt att det nya ransomware-exemplet är kopplat till den ursprungliga källkoden, vilket betyder att någon från gänget – till exempel en kärnutvecklare – måste ha varit inblandad.
Sammansättningen av REvils grupp
REvils återkomst efter de påstådda arresteringarna tidigare i år har väckt frågor om gruppens sammansättning och dess band till den ryska regeringen. Gänget blev mörkt på grund av framgångsrik amerikansk diplomati innan konflikten mellan Ryssland och Ukraina började.
För många tyder den plötsliga återuppväckningen av gruppen på att Ryssland kanske vill använda den som en kraftmultiplikator i de pågående geopolitiska spänningarna.
Eftersom ingen person ännu har identifierats är det oklart vem som ligger bakom insatsen. Är det samma personer som drev den tidigare verksamheten, eller har en ny grupp tagit över?
Sammansättningen av den kontrollerande gruppen är fortfarande ett mysterium. Men med tanke på arresteringarna tidigare i år är det troligt att gruppen kan ha några operatörer som inte tidigare var en del av REvil.
För vissa analytiker är det inte ovanligt att grupper av ransomware går ner och dyker upp igen i andra former. Däremot kan man inte helt eliminera möjligheten att någon utnyttjar varumärkets rykte för att få fotfäste.
Skydd mot REvil Ransomware-attacker
Gripandet av REvils kingpin var en stor dag för cybersäkerhet, särskilt när ransomware-grupper riktade in sig på allt från offentliga institutioner till sjukhus och skolor. Men som sett med alla avbrott i kriminell verksamhet online, betydde det inte slutet på ransomware-pandemin.
Faran i fallet med REvil är det dubbla utpressningssystemet där gruppen skulle försöka sälja din data och smutskasta ett varumärkes image och kundrelationer.
I allmänhet är en bra strategi för att motverka sådana attacker att säkra ditt nätverk och genomföra simuleringstester. En ransomware-attack uppstår ofta på grund av oparpade sårbarheter, och simuleringsattacker kan hjälpa dig att identifiera dem.
En annan viktig mildrande strategi är att verifiera alla innan de kan komma åt ditt nätverk. Som sådan kan en nollförtroendestrategi vara fördelaktig eftersom den fungerar på grundprincipen att aldrig lita på någon och verifiera varje användare och enhet innan de ger dem tillgång till nätverksresurser.
