Artık feshedilen REvil grubunun üyelerinin fidye yazılımı çetesini canlandırıyor olabileceğine dair kanıtlar birikmeye devam ediyor, ancak siber güvenlik uzmanları, grubun bir zamanlar yarattığı etkinin aynısına sahip olup olmayacağını sorguluyor.
29 Nisan’da kötü amaçlı yazılımdan koruma firması Avast, şirketin yazılımının, yalnızca REvil grubunun önceki üyelerinin erişebileceği bilgiler kullanılarak oluşturulmuş gibi görünen bir fidye yazılımı örneğini engellediğini açıkladı. Dosyanın keşfi, siber güvenlik firması Emsisoft’un REvil’in sızıntı sitesinin Web adresinin artık hem REvil adını kullanan hem de Hindistan’daki bir ABD üniversitesini ve bir petrol şirketini tehlikeye attığını iddia eden yeni bir sunucuya işaret ettiğini açıklamasından bir haftadan fazla bir süre sonra geldi.
Emsisoft’ta tehdit analisti Brett Callow, bu iki kırıntı, birinin (veya birinin) REvil grubunun kaynak koduna ve altyapısına erişimi olduğunu ve operasyonu yeniden başlatıyor olabileceğini gösteriyor. Ancak eski ekibin tekrar bir araya geldiğini kanıtlamıyorlar.
“Bu gerçekler, eski REvil çetesinin geri döndüğünü mutlaka kanıtlamaz” diyor. “Bunun yerine, daha önce operasyonla bağlantılı olan bir veya daha fazla kişinin dizginleri almaya karar verdiğini gösteriyorlar.”
Her iki durumda da, grubun görünürdeki dirilişi, siber güvenlik uzmanlarının, kolluk kuvvetlerinin ve savcıların başarılı siber suçlu gruplarını bozmada yaşadıkları zorluğu vurgulamaktadır.
2021’de et işlemcisi JBS ve BT yönetim firması Kaseya’ya yapılan kritik saldırıların ardından REvil birkaç aylığına kapandı ancak Eylül ayında yeniden ortaya çıktı. Daha sonra Ocak ayında, Rus yetkililerin grubun 14 üyesini tutukladığı ve iki düzineden fazla yere baskın düzenleyerek yayından kaldırmanın devam edeceğine dair umutları artırdığı bildirildi.
Bunun yerine grup, diğer fidye yazılımı operasyonlarıyla çalışan üyelerle parçalanmış gibi görünüyor. Şimdi bazı üyeler REvil markasını diriltmek için gönülsüz bir girişimde bulunuyor olabilir, ancak ılık canlanma, bir grubun ne olduğu sorusunu gündeme getiriyor, çünkü fidye yazılımı çetesinin operasyonunu yeniden oluşturmak için birlikte çalışan birkaç uydu üyesi pek mümkün görünmüyor. Callow, eşit bir tehdit oluşturduğunu söylüyor.
“Yeni operasyonun REvil ile bağlantılı görünmesi, teşkil ettiği tehdidi daha fazla veya daha az ciddi hale getirmiyor” diyor ve “fidye yazılımının güvenlik açığından sonra yeniden canlanmasını görmek biraz şaşırtıcı” diyor. kolluk kuvvetleri, bağlı kuruluşların ve hizmet sağlayıcıların REvil ile bağlantılı herhangi bir operasyonun bütünlüğüne güvenmeyeceklerini düşünürdünüz.”
Bozuk Kötü Amaçlı Yazılım, Cesur İddialar
REvil’in bir başka canlanmasıyla ilgili en son endişeler Callow’dan sonra geliyor yeniden yönlendirilen sızıntı blogunun bir ekran görüntüsünü yayınladı 20 Nisan’da Twitter’da ve – bir haftadan uzun bir süre sonra – Avast güvenlik araştırmacısı Jakub Kroustek, hiçbir şeyi şifrelemeye çalışmadığı için test olabilecek kötü amaçlı yazılımların ekran görüntülerini yayınladı.
“Birkaç saat önce, yeni bir #Sodinokibi / #REvil varyantı gibi görünen bir #fidye yazılımı örneğini doğada engelledik” Kroustek tweet attı. “Zaman damgası 2022-04-27, yeni yapılandırma, yeni muteks, kampanya kimliği vb. Komik olan şey… dosyaları şifrelemez, yalnızca rastgele bir uzantı ekler…”
Yeniden ortaya çıkma, grupların REvil mantosunu ilk kez talep etmesi de değil. Bir yıl önce, Prometheus olarak bilinen bir grup, grubu REvil’e bağlayan zayıf bir mirasa sahip olduğunu iddia ederek, 2021’in ortalarında en az 30 olan çeşitli kuruluşlardan ödün vermeye başladı.
Ayrıca REvil, dokuz canı olan tek grup değil. Nisan ayının başlarında, Black Cat veya ALPHV olarak bilinen ve muhtemelen şu anda feshedilmiş BlackMatter grubunun operatörlerini de üye olarak içeren bir grup, FENDR adlı bir aracı kullanmaya başladı ve daha önce yalnızca BlackMatter grubunun kullanımına sunuldu. Ayrıca, geçen Kasım ayında, teknoloji şirketleriyle bir araya gelen uluslararası kolluk kuvvetlerinin endemik Truva Atı’nı kapatmasından 10 aydan fazla bir süre sonra Emotet botnet ölümden döndü.
Fidye Yazılımları Tahrip Etmeye Devam Ediyor
Grupların ortadan kaybolması, yeniden yapılandırılması ve yeniden markalaşması gibi görünen kaosa rağmen, fidye yazılımları şirketler, verileri ve operasyonları için bir tehdit olarak büyümeye devam ediyor. Yakın tarihli bir ankette, şirketlerin %43’ü verilerinin 2020’de %20’den 2021’de fidye yazılımıyla şifrelendiğini iddia etti. Ayrıca, saldırganlara ödenen ortalama fidye yazılımının toplam maliyeti 1,4 milyon ABD doları olmak üzere dört katına çıkarak 800.000 doları aştı. ortalama saldırıyı düzeltin.
Emsisoft’tan Callow, bu kadar çekici kârlarla, bazı yabancı yargı bölgeleri tarafından korunan siber suçluları ortadan kaldırmak neredeyse imkansız, diyor.
“Gruplar hakkında konuşuyoruz, ancak gerçek şu ki, çekirdek üyeliğin dışında, bunlar hizmet sağlayan veya saldırılarda kullanmak üzere fidye yazılımlarına erişim “kiralayan” bireylerin şekilsiz koleksiyonlarıdır ve bu kişilerden bazıları birden fazla grupla işbirliği yapar. aynı anda” diyor. “Grupları yok edemezsiniz. Yalnızca onların çalışmasını zorlaştırabilirsiniz. Bütün mesele ödüllerini azaltırken risklerini artırmaktır.”