CarderPlanet
Professional
Раньше существовала печально известная группа программ-вымогателей REvil. Также известная как Sodin и Sodinokibi, REvil сделала себе имя, вымогая большие суммы денег у предприятий. Компания также использовала бизнес-модель «программа-вымогатель как услуга» (RAAS), при которой она делилась прибылью с аффилированными лицами, которые взламывают сети и распространяют ее программы-вымогатели.
До не давнего времени. Банда, возглавляемая Россией, недавно была уничтожена в результате операции правоохранительных органов в нескольких странах. Его инфраструктура была взломана и отключена во второй раз за неделю, и на момент написания нет никаких признаков того, что ее операции снова появятся где-либо.
Демонтаж топливопровода
Похоже, что разрушение было вызвано кибератакой на Colonial Pipeline в начале этого года. В результате атаки в прошлом месяце топливопровод США был отключен, что привело к серьезным нарушениям. Программное обеспечение для шифрования, использованное в кибератаке, было разработано сотрудниками REvil. Несомненно, есть и другие факторы, которые связали атаку по конвейеру с REvil. В некотором смысле рука правоохранительных органов была вынуждена выступить против REvil.
Подорванный авторитет
Вместе с прекращением его деятельности авторитет REvil среди других киберзлодеев серьезно пострадал. Если бы это была операция мафии, то послали бы киллера. Предполагаемые действия бэкдора полностью подорвали REvil.
Испорченная репутация
Эта бизнес-модель хорошо послужила киберпреступникам. Хотя удаление REvil может не иметь такого большого влияния на атаки программ-вымогателей в целом, группа программ-вымогателей, безусловно, застрелила себя в ногу, поддерживая своих филиалов и забирая все деньги себе.
Конечно, эти люди используют анонимность в Интернете, чтобы скрыть свою настоящую личность, так что же им помешает создать другое имя? Однако у них также есть цифровые отпечатки пальцев, такие как необычный способ использования языка, который другие хакеры могут использовать для их идентификации. В результате они могут оказаться в киберпространстве, что для опытных создателей программ-вымогателей - только хорошо.
До не давнего времени. Банда, возглавляемая Россией, недавно была уничтожена в результате операции правоохранительных органов в нескольких странах. Его инфраструктура была взломана и отключена во второй раз за неделю, и на момент написания нет никаких признаков того, что ее операции снова появятся где-либо.
Демонтаж топливопровода
Похоже, что разрушение было вызвано кибератакой на Colonial Pipeline в начале этого года. В результате атаки в прошлом месяце топливопровод США был отключен, что привело к серьезным нарушениям. Программное обеспечение для шифрования, использованное в кибератаке, было разработано сотрудниками REvil. Несомненно, есть и другие факторы, которые связали атаку по конвейеру с REvil. В некотором смысле рука правоохранительных органов была вынуждена выступить против REvil.
- Однако интересно отметить, что ранее в этом месяце хакер по имени Signature, как сообщается, опубликовал подробности секретной «криптобэкдор» в коде REvil на российском форуме, используемом преступным подпольем.
- Судя по всему, код бэкдора позволил REvil восстанавливать зашифрованные файлы вымогателей самостоятельно, без участия аффилированных лиц, которых он первоначально нанял.
- Бэкдор позволил группе REvil вести переговоры с жертвой программы-вымогателя, вырезать филиал и даже восстанавливать зашифрованные файлы без одобрения своих аффилированных партнеров.
- Хакер утверждал, что REvil вступил в переговоры через бэкдор и, представившись жертвой, внезапно прекратил попытку вымогательства 7 миллионов долларов. Signature считает, что затем один из операторов REvil взял на себя настоящие переговоры и забрал деньги.
Подорванный авторитет
Вместе с прекращением его деятельности авторитет REvil среди других киберзлодеев серьезно пострадал. Если бы это была операция мафии, то послали бы киллера. Предполагаемые действия бэкдора полностью подорвали REvil.
- Операторы программ-вымогателей как услуги, такие как REvil, сдают свое вредоносное ПО для шифрования файлов «аффилированным лицам», нанимаемым через онлайн-форумы. Затем филиалы запускают атаки программ-вымогателей и платят операторам, таким как REvil, большую долю выкупа.
- Эта модель обслуживания позволяет операторам программ-вымогателей улучшить код программы-вымогателя, в то время как филиалы могут сосредоточиться на распространении программы-вымогателя и заражении как можно большего числа жертв. Это создает конвейер выплат выкупа, которые делятся между разработчиком и аффилированными лицами.
Испорченная репутация
Эта бизнес-модель хорошо послужила киберпреступникам. Хотя удаление REvil может не иметь такого большого влияния на атаки программ-вымогателей в целом, группа программ-вымогателей, безусловно, застрелила себя в ногу, поддерживая своих филиалов и забирая все деньги себе.
Конечно, эти люди используют анонимность в Интернете, чтобы скрыть свою настоящую личность, так что же им помешает создать другое имя? Однако у них также есть цифровые отпечатки пальцев, такие как необычный способ использования языка, который другие хакеры могут использовать для их идентификации. В результате они могут оказаться в киберпространстве, что для опытных создателей программ-вымогателей - только хорошо.
