Илья Михальчук

REvil исчезает в кибер-джунглях

Хакерская группировка REvil за 2020 год заработала 100 миллионов долларов — она известна тем, что требует у своих жертв рекордно большие выкупы.

Эксперты по кибербезопасности связывают REvil с Россией — участники группировки переписываются между собой на русском языке. Через несколько дней после телефонного разговора Путина и Байдена о деятельности хакеров из России информационные ресурсы REvil пропали из даркнета. Почему REvil свернула свою деятельность и связано ли это с переговорами двух президентов?

Ночью 13 июля из даркнета исчезла вся инфраструктура хакерской группировки REvil. Она распространяет вирусы-вымогатели, которые блокируют доступ компаний к устройствам, шифруя данные, и требует выкуп за дешифратор. Первыми об этом рассказали американские специалисты по информационной безопасности, а также американские СМИ, среди которых были The New York Times и CNBC.  У REvil перестали работать все сайты, через которые злоумышленники требовали выкупы у атакованных компаний: в результате их жертвы даже при желании не могли получить дешифратор взамен на деньги. Кроме того, исчез блог группировки: в нем компания рассказывала о своих атаках и публиковала чувствительную информацию, за которую ее жертвы отказывались платить.

На теневых форумах заблокировали аккаунт представителя REvil. Обычно администрация хакерских форумов блокирует учетную запись, если есть риск задержания ее владельца, рассказал Forbes заместитель руководителя «Лаборатории компьютерной криминалистики» Group-IB Олег Скулкин. Участники одного из форумов сообщили, что «техническая поддержка» REvil также недоступна. Некоторые из них предположили, что уход группировки был незапланированным, потому что у них остались «незакрытые вопросы».  

Все это произошло через несколько дней после телефонного разговора президентов России и США, во время которого Джо Байден потребовал от Владимира Путина пресечь деятельность вымогателей из России. Что случилось с группировкой REvil и имеет ли Россия к этому отношение? 

Российский след

Хакерская группировка REvil (также известна под названием Sodinokibi) работает в даркнете с 2019 года. REvil распространяет свой вирус-шифровальщик через партнеров (других хакеров), которые получают 60-75% от выкупа, рассказывала «Лаборатория Касперского» в своем исследовании в мае 2021 года. Также группировка известна тем, что требует рекордно большие выкупы: за 2020 год она заработала $100 млн.

REvil, как правило, атакует инженерно-производственный сектор (30% всех атак), финансовые организации (14%), поставщиков услуг (9%), юридические фирмы (7%), а также ИТ и телеком-компании (7%), говорится в исследовании. В марте 2021 года группировка атаковала компанию Acer, а в апреле похитила у производителя компьютерной техники Quanta Computer данные, представляющие собой чертежи, и опубликовала их: по данным REvil, это были чертежи устройств Apple. У обеих компаний вымогатели требовали по $50 млн. 

В интервью Telegram-каналу Russian OSINT представитель REvil рассказал, что группировка предоставляет партнерам софт, дешифровщик, а также участвует в переговорах о выкупе и давлении на жертву. «Задача партнера — заразить сеть и убить бэкапы. Скачать файлы. Все. Остальное наша забота», — рассказывал представитель REvil. Он добавил, что в трети случаев крупные компании платят выкуп, чтобы атака не становилась публичной.

REvil очень внимательно подходит к выбору жертв, говорит аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Никита Комаров. Прежде всего, мошенники заинтересованы в атаках на крупные компании, так как те в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов, отмечает Комаров.

Мошенники по приколу: кто они — русские хакеры?

В июне ФБР обвинила REvil в атаке на бразильского производителя мяса JBS. Из-за этого компании пришлось приостановить работу части своих предприятий и заплатить хакерам $11 млн в качестве выкупа. Американские эксперты неоднократно заявляли о связи REvil с Россией и российскими спецслужбами.

Они относят группировку REvil к России из-за характерных элементов в коде шифровальщика, а также из-за переписок между участниками на русском языке, указывает эксперт инжинирингового центра SafeNet Национальной технологической инициативы (НТИ) Игорь Бедеров. Однако преступники могут сознательно использовать иностранные языки, добавил он. «Например, на международном уровне мы выявляли группы наркоторговцев и торговцев людьми, которые общались по телефону исключительно на английском языке, опасаясь алгоритмов прослушки по ключевым фразам», — рассказал эксперт. Участники REvil проверяют, используют ли их жертвы русскоязычную раскладку клавиатуры — в этом случае они не начинают атаку, рассказал Forbes источник на рынке информационной безопасности. Это обычная практика у русскоязычных хакеров, чтобы избежать внимания со стороны местных правоохранительных органов, отметил собеседник Forbes.

Политический аспект

В начале июля 2021 года REvil осуществил масштабную атаку на американскую компанию Kaseya, которая удаленно оказывает ИТ-услуги. Хакеры воспользовались одной из семи уязвимостей Kaseya, о которых специалисты по кибербезопасности предупредили компанию еще в апреле. Тогда Kaseya исправила только четыре из них, оставшиеся три проблемы компания планировала решить позднее. В результате жертвами REvil стали более тысячи организаций-клиентов Kaseya. Представитель Kaseya Мильие Асебаль рассказала Forbes, что компания пока не обнаружила среди пострадавших клиентов российские организации.

Вскоре после этого, 9 июля, Байден и Путин говорили по телефону. Президент США обсудил «хакерские атаки, находящихся в России преступников, в которых использовались программы-вымогатели и которые затронули США и другие страны». По словам Байдена, Россия должна принять меры борьбы с хакерами, «ведущими деятельность в России». Позднее пресс-секретарь Белого дома Джейн Псаки сообщила, что американские власти пока не связали атаку на Kaseya с кем-либо, в том числе с российским правительством. Но сообщество специалистов в сфере кибербезопасности считает, что REvil действует из России, но у нее есть связи по всему миру, сказала Псаки. «На встрече президент дал понять Путину, что если российское правительство не может или не будет принимать меры против преступников, проживающих в России, мы сами примем меры или оставим за собой право действовать самостоятельно», — заявила пресс-секретарь Белого Дома.

Привлекли внимание

Издание The New York Times называло три основных версии исчезновения REvil. По одной из них информационные ресурсы хакерской группы заблокировали американские спецслужбы. После разговора с Путиным Байден подтвердил журналистам, что США могут отключить серверы российских киберпреступников. По другой версии группировка REvil получила приказ сворачивать деятельность от российских спецслужб.

«Российскую» версию отключения REvil Бедерев считает маловероятной. В России фактически нет инфраструктуры для эффективной борьбы с киберпреступниками, до сих пор мошенников в стране ловят с трудом, говорит он. «Американцы считают, что Россия не отстает в техническом плане от США, хотя де-факто это не так», — отметил Бедерев.

Согласно третьей версии хакеры сознательно исчезли, потому что привлекли к себе слишком много внимания. Злоумышленники могли оставить след при проведении последней атаки на Kaseya, «поэтому для перестраховки ушли в тень», полагает Комаров из «Инфосистемы Джет». REvil может прекратить свои операции вслед за другими хакерскими группировками, такими как DarkSide, Avaddon и Babuk, говорит руководитель отдела расширенного исследования угроз «Лаборатории Касперского» Владимир Кусков. Babuk объявила о прекращении работы в конце апреля, заявив, что планирует сделать исходный код своего шифровальщика общедоступным. «Из-за крупных взломов операторы программ-вымогателей привлекли к себе слишком много внимания, поэтому многие решили залечь на дно, или хотя бы покинуть полупубличное пространство», — согласен Скулкин из Group-IB. 

Уничтожение REvil стало в США политической задачей, которую они просто так не бросят в ближайшие годы, считает Бедерев. Самое правильное в таком случае — разбежаться, чтобы соединиться снова в другом месте, под другим названием и с видоизмененным софтом, отметил он.