Российские киберпреступники REvil (Ransomware Evil) атакуют серверы компаний по всему миру и требуют многомиллионные выкупы за ключи дешифрования, необходимые для предотвращения утечки похищенных файлов. По данным Bleeping Computer, вымогатели, внезапно пропавшие в июле, вновь объявились на прошлой неделе.
«Когда она затихли, исследователи и правоохранители предположили, что REvil в какой-то момент вернутся под другим названием. Однако, ко всеобщему удивлению, банда REvil снова работает… под тем же именем», – говорится в статье.
Сообщается, что REvil пропала в начале июля. Перед этим преступники провели масштабную кибератаку: зашифровали 60 MSP-провайдеров и более 1500 компаний, воспользовавшись «уязвимостью нулевого дня в разработанной Kaseya платформе для удаленного управления сетью – VSA».
Kaseya – ведущий поставщик решений по управлению ИТ-инфраструктурой для MSP-провайдеров, малого и среднего бизнеса. Компания сразу сообщила о произошедшем и быстро отреагировала на «атаку c помощью программ-вымогателей, совершенную в приуроченные ко Дню независимости праздничные выходные на клиентов VSA (платформа для удаленного контроля и управления)».
Среди жертв оказались международный поставщик мяса JBS, валютная компания Travelex, несколько известных фирм модной индустрии и бразильская страховая фирма Grupo Fleury.
«REvil потребовали 50 миллионов долларов за универсальный дешифратор для всех пострадавших клиентов Kaseya, пять миллионов [за] разблокировку каждого MSP-провайдера и 44 999 долларов за восстановление доступа к отдельным файлам», – сообщает Bleeping Computer.
По некоторым данным, последствия атаки были столь серьезными, что в тот момент все внимание мировых правоохранителей было приковано к банде, которая позже исчезла, «оставив многих жертв без возможности дешифровать файлы».
Однако два месяца спустя подконтрольный REvil платежный портал (они популярны среди киберпреступников, поскольку позволяют скрыть их происхождение и затрудняют идентификацию организаторов атак) и сайты для публикации утекших данных возобновили работу.
Активны и платежные порталы в сети Tor, которые REvil также использует для переговоров. На этих сайтах ведется обратный отсчет: жертве дают 72 часа на то, чтобы заплатить выкуп и вернуть украденные данные.
Как сообщается, когда REvil отключила в июле свои серверы, счетчики всех предыдущих жертв остановились. По-видимому, часы снова тикают.
Двухмесячное отсутствие киберпреступников остается загадкой, хотя есть несколько версий произошедшего.
По некоторым данным, в банде думали, что власти задержали одного из ее членов – его называют Unknown или UNKN – и отключили серверы, чтобы до них не добрались следователи. Об этом якобы сообщили на хакерских форумах сами REvil.
Как сообщает Bleeping Computer, по другой версии, киберпреступники просто взяли перерыв.