Взломаны домены REvil, представитель форума объявляет о намерении группы перейти в автономный режим

[Tomcat]

Я не могу начать этот блог с R-слова. Вы знаете одно. Я раньше подшучивал над этим, потому что мы так много говорим об этом. Как поставщик информации, мы должны много писать. Вот подсказка: это была главная новость в течение нескольких месяцев, и в этом году она была на сцене, полной потрясений, особенно всего за последние 2 квартала. Подобно Джейсону Вурхизу, Фредди Крюгеру, Майклу Майерсу, Чаки или Крику, было так много перезагрузок, сиквелов и ИТ.

Не оборачивайся!

В стороне: чтобы прояснить кое-что, вот Майкл Майерс (слева) и Майк Майерс (справа).

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ! * КРИКИ РЕПЛИКИ *
Для некоторых команд-вымогателей мы планируем перейти на Fast & Furious или Friday the 13th с перезагрузками и сиквелами, но именно так и складывался 2021 год. Есть деньги, которые нужно заработать, и это довольно явный признак того, что они никуда не денутся. Прежде чем мы слишком глубоко погрузимся в обычный обзор программ-вымогателей, давайте поговорим о некоторых других жутких, связанных с Хэллоуином событиях в области кибербезопасности.

В ЭТОМ ГОДУ ДАЖЕ КОНФЕТЫ НЕ БЕЗОПАСНЫ
Как ни печально, но на мгновение в этом месяце казалось, что настоящие конфеты были небезопасны. Что хочешь сказать о конфетной кукурузе. Лично? Не фанат. Однако, если вы это пропустили, миры программ-вымогателей и леденцов наконец столкнулись. Ferrara Candy, крупнейший производитель кукурузных конфет * gag *, недавно стала жертвой атаки с использованием программ-вымогателей.

Отдыхайте спокойно, безвкусные друзья, которым нравится угощение. Фабрика все еще работает и работает, чтобы доставить ваши «вкусные» конфеты, чтобы остальные из нас могли выбросить их в мусорное ведро. Как общество, мы, возможно, избежали пресловутой пули. Попасть в такое заведение, как сладкая кукуруза, накануне важного праздника в США, особенно с учетом событий последних (почти) двух лет, это немного. Кто знает? Возможно, это послужит толчком для того, чтобы, наконец, провести черту на песке в, казалось бы, бесконечной борьбе с программами-вымогателями.

Наслаждение сладкой кукурузой: руководство. Также, вероятно, очень выгодно использовать мем iFunny.

В другом неожиданном повороте, когда миры сталкиваются, Касперский теперь предупреждает общественность о том, что хакеры используют не только беглый хит Netflix Squid Game в качестве приманки, но и КОСТЮМЫ Squid Game. Согласно PC Mag, исследователи «Лаборатории Касперского» обнаружили вредоносное ПО с помощью приманок, состоящих из поддельных приложений Squid Game и товаров, нацеленных на пользователей. Если вы планируете пойти в качестве своей любимой игры с кальмарами (я еще не смотрел ее, поэтому не знаю, о чем я говорю) на Хэллоуин, убедитесь, что это законный сайт, который вы посещаете, чтобы найти костюмы. или что это проверенное приложение для просмотра - как будто вы еще не используете чужой логин в Netflix.

Тем не менее, все это еще раз доказывает, что преступники не только продолжают портить нам веселье, но и продолжают ухаживать за духом времени, чтобы оставаться актуальными и опасными.

REVIL DEAD: ПОСЛЕДНЯЯ ГЛАВА?
Хорошо, вот серьезный момент. Вроде. Одной из групп, в которой мы не могли насытиться просто из-за всей драмы и хаоса в этом году, была REvil - группа с большим количеством историй, чем некоторые из крупнейших голливудских франшиз:

• Январь 2018 - GandCrab: Прибытие
• Апрель 2019 - Sodinokibi: GandCrab 2 Electric Boogaloo
• 2020ish - REvil: Sodinokibi, Tokyo Drift
• Июль 2021 - REvil: Поймай меня, если сможешь
• Сентябрь 2021 г. - REvil: В поисках денег
• Октябрь 2021 г. - REvil: Чувак, где наш сервер?
• Октябрь 2021 - ФБР: Я знаю, что вы делали прошлым летом, REvil
• Выходит в 2022 году - REvil: The Return (снова)?

Напомним, они постепенно набирали известность в течение 2019 и 2020 годов, и внезапно в 2021 году они стали предметом множества новостей из-за некоторых довольно революционных событий. Мы посвятили им больше, чем несколько блогов и подкастов, а также одно упражнение по анализу конкурирующих гипотез. Они живут в наших мозгах без арендной платы 24 часа в сутки, 7 дней в неделю.

Если не считать шуток, самые свежие хиты в прессе о REvil важны. Хотя ФБР обычно не комментирует проводимые операции публично, источники, похоже, указывают на совместную операцию с участием нескольких агентств США и некоторый объем международного сотрудничества, в результате которого они были свергнуты, как сообщает Ars Technica. Представители REvil были забанены на некоторых форумах, и теории о дарквебе, как мы писали на прошлой неделе, разрастаются безудержно . В одной цитате глава VMware по кибербезопасности Том Келлерман заявил: «Перчатки оторвались».

Как это повлияет на другие операции с программами-вымогателями, еще неизвестно. Аресты аффилированных лиц, скорее всего, будут продолжаться, поскольку они играют роль падших в этой истории, но как скоро основные операторы также начнут ощущать давление со стороны правоохранительных органов и / или правительственных постановлений, приближающихся к ним? Недавние новости о том, что администрация Байдена создала агентство, занимающееся криптовалютой, - это еще один шаг в ужесточении позиции США в отношении программ-вымогателей. Эта новообретенная твердость началась сразу после инцидента с Colonial Pipeline и продолжилась через беспорядок, созданный REvil: атаки JBS и Kaseya.

ПО КРАЙНЕЙ МЕРЕ, МЕМЫ ХОРОШИ
Наконец, чтобы немного переключиться, я, как заядлый историк мемов, скажу, что мемы за последние два года были огнем. Они играли на темы пандемии, культурного пробуждения, политики и многих мировых событий, часто с восхитительной смесью сюрреализма, сатиры и цинизма. Добавьте к этому списку кибербезопасность сейчас.

Несколько пользователей Твиттера недавно подняли тезис «Родители, берегитесь, это то, что они прячут в конфетах» на новый уровень для нас в мире безопасности, и это доставляет удовольствие. Вот:

Кто-то вкладывает эксплойты Kubernetes в конфету!

Также есть личный фаворит, нацеленный на CISO и охранные компании:

Gartner разместит этот Magic Quandrant где угодно!

Итак, перед тем, как вы отправите своих трюков или средств защиты в эти выходные, обязательно сообщите им, чтобы они не брали у незнакомцев какие-либо демонстрации разведданных или инструментов безопасности , и проверьте их конфеты, чтобы убедиться, что никто не подсунул в них маяк Cobalt Strike.

Да, и исправьте свои уязвимости. Счастливого Хэллоуина от Digital Shadows!

ИДТИ ОДНОМУ ОПАСНО! ВОЗЬМИ НАС
Послушайте, иногда это действительно страшный мир, и в наши дни все мы все время находимся под угрозой кибербезопасности. Интеллект - это слой защиты, который добавляет контекст вашим предупреждениям и вашей работе с целью обеспечения вашей безопасности. Будь то старый добрый анализ угроз, темная сеть, управление рисками или вы хотите следить за важными активами, мы можем вам помочь.

Неизданный коллаборация Digital Shadows X Zelda.

Попробуйте нас на 7-дневном тест-драйве, чтобы узнать, работает ли Searchlight для вас, или мы можем провести вас через демонстрацию, используя ваши варианты использования и вопросы.

 

[Tomcat]

Группа вымогателей REvil (также известная как Sodinokibi) была одним из самых значительных персонажей в развивающейся драме о вымогателях, разыгравшейся в последние несколько лет. Вариант программы-вымогателя REvil был впервые обнаружен в апреле 2019 года, и хотя изначально группа была ориентирована на азиатские организации, операторы программ-вымогателей и связанные с ними аффилированные лица теперь неизбирательно выбирают жертву и сектор. В настоящее время смелые и дерзкие атаки REvil, такие как нацеливание на программное обеспечение для управления настольными компьютерами Kaseya и мясоперерабатывающую организацию JBS, означают, что группа редко оказывается вне новостей. REvil пережил свою долю споров на протяжении многих лет, со всем, начиная от обвинений в неуплате средств тем, кто участвует в его партнерской программе, до заявлений о том, что он эффективно вырезал филиалы и поделился ключами дешифрования с жертвами. Мы также видели, как группа бесследно исчезла, а через несколько месяцев снова появилась и продолжала действовать, как будто ничего не произошло.

Последнее событие в истории REvil связано с сообщением от 17 октября 2021 года предполагаемого представителя группы вымогателей REvil (также известного как Sodinokibi) на известном русскоязычном форуме киберпреступников XSS. Пользователь пояснил, что REvil отключился в начале июля 2021 года после того, как бывший представитель группы на форуме исчез без объяснения причин. Позже группа возобновила работу, предположив, что этот представитель форума умер. Однако 17 октября 2021 года неизвестный человек получил доступ к частям серверной части целевой страницы и блога веб-сайта REvil, в результате чего новый представитель форума пришел к выводу, что третья сторона имеет доступ к резервным копиям веб-сайтов и служебным ключам Onion. Из содержания форума было неясно, рассматривала ли группа возможность того, что это неизвестное третье лицо на самом деле было бывшим представителем форума, очень живой и здоровый. Представитель также подтвердил, что на серверах REvil нет никаких признаков компрометации. Они посоветовали существующим участникам партнерской программы связаться с ними через Tox, чтобы получить ключи для их существующих кампаний вымогателей, а затем объявили, что теперь группа перейдет в «офлайн».

Сообщение на форуме, сообщающее об исчезновении REvil и захвате доменов группы

Впоследствии представитель форума добавил в ветку новые сообщения с дальнейшими обновлениями ситуации. Они подтвердили, что административные панели сайтов не были взломаны, что домены REvil были «регенерированы», и что теперь группа ожидает удаления старых доменов. Позже представитель утверждал, что они лично стали мишенью во время атаки, утверждая, что неизвестная третья сторона удалила путь к «скрытой службе представителя в файле torrc», в то время как скрытые службы других членов группы остались нетронутыми. На вопрос другого пользователя о том, кто будет работать с REvil после этой последней серии проблем, представитель ответил: «Судя по всему, я буду работать сам».

Реакция на новости других участников форума варьировалась от в значительной степени антипатичной до граничащей с теорией заговора. Основной темой дебатов был вопрос о том, будет ли группа проводить ребрендинг в третий раз, и многие задавались вопросом, будет ли киберпреступное сообщество по-прежнему доверять схемам, связанным с REvil. Мнения разделились по поводу того, обеспечит ли репутация REvil предполагаемый успех группы, при этом многие указали, что вся гласность - это хорошая реклама, и предсказывали, что обещание большой прибыли по-прежнему будет побуждать аффилированных лиц работать с группой в будущем. По одной из теорий, которые проходили проверку, предполагалось, что недовольный бывший член команды в сочетании с плохой гигиеной пароля мог привести к атаке. Многие пользователи сомневались в том, что эта тема вообще обсуждается на сайте, указывая на Запрет XSS в мае 2021 года на контент, связанный с программами-вымогателями.

Представитель XSS группы вымогателей LockBit утверждал, что предсказал такой поворот событий, предоставив ссылки на свои «пророческие» сообщения на форуме. Они подвергли сомнению намерение представителя REvil покинуть форум, заявив, что «если домены были захвачены, это 100% доказательство того, что кто-то имел root-права на сервере, а это означает, что ваша база данных тоже была утечкой». Представитель LockBit даже выдвинул идею, что новый аккаунт на форуме REvil может фактически управляться правоохранительными органами.

Трудно предсказать, что будет дальше в продолжающейся истории REvil, но маловероятно, что мы видели последнего из группы. Тон и формулировка сообщений представителя REvil на форуме наводили на мысль, что исчезновение группы с форума и прекращение работы - это временная пауза, а не постоянный шаг. История вполне может повториться, и мы можем увидеть, как группа неожиданно возвращается в том же обличье или с другим именем. Да, есть признаки того, что воплощения REvil каждый раз могут становиться немного менее эффективными - недавно мы видели групповую рекламу для аффилированных лиц с разделением прибыли 90/10, что больше, чем делилась группа в предыдущие годы. Несмотря на это, а также на многочисленные споры, в которые был вовлечен REvil, которые могли подорвать всякое доверие и желание сотрудничать с группой,

 

[Brother]

Правительства Австралии, Великобритании и США ввели финансовые санкции в отношении гражданина России за его предполагаемую роль в атаке программы-вымогателя на поставщика медицинского страхования Medibank в 2022 году.

33-летний Александр Ермаков (он же blade_runner, GistaveDore, GustaveDore или JimJones) был связан со взломом сети Medibank, а также с кражей и разглашением личной информации (PII), принадлежащей австралийской компании.

Атака программ-вымогателей, которая произошла в конце октября 2022 года и приписывается ныне несуществующей REvil ransomware crew, привела к несанкционированному доступу примерно к 9,7 миллионам ее нынешних и бывших клиентов.

Украденная информация включала имена, даты рождения, номера Medicare и конфиденциальную медицинскую информацию, включая записи о психическом здоровье, сексуальном здоровье и употреблении наркотиков. Некоторые из этих записей просочились в темную сеть.

В рамках трехсторонних действий санкции делают уголовным преступлением предоставление активов Ермакову или использование его активов или сделки с ними, в том числе через криптовалютные кошельки или платежи программ-вымогателей.

Это преступление карается лишением свободы на срок до 10 лет. Кроме того, правительство Австралии также ввело запрет на поездки Ермакова.

Правительство Великобритании заявило, что это наказание является их последней попыткой "противостоять злонамеренной киберпреступной деятельности, исходящей из России, которая стремится подорвать целостность и процветание" страны и ее союзников.

Помимо критики России за предоставление убежища злоумышленникам-киберпреступникам, Министерство финансов США обвинило восточноевропейскую страну в том, что она допускает атаки программ-вымогателей путем культивирования и кооптации преступных групп.

Он также призвал Россию предпринять конкретные шаги для предотвращения того, чтобы киберпреступники свободно действовали в ее юрисдикции.

"Российские киберпреступники продолжают совершать разрушительные атаки с использованием программ-вымогателей против Соединенных Штатов и союзных стран, нацеливаясь на наши предприятия, включая критически важную инфраструктуру, с целью кражи конфиденциальных данных", - сказал заместитель министра финансов Брайан Э. Нельсон.

"Это действие демонстрирует, что Соединенные Штаты поддерживают наших партнеров в борьбе с программами-вымогателями, которые становятся жертвами станового хребта нашей экономики и критически важной инфраструктуры", - отметили в Министерстве финансов.

 

[Father]

Гражданина Украины приговорили к более чем 13 годам тюремного заключения и обязали выплатить 16 миллионов долларов в качестве компенсации за проведение тысяч атак программ-вымогателей и вымогательство у жертв.

24-летний Ярослав Васинский (он же Rabotnik) вместе со своими сообщниками из REvil ransomware group организовал более 2500 атак программ-вымогателей и потребовал выплаты выкупа в криптовалюте на общую сумму более 700 миллионов долларов.

"Сообщники требовали выкуп в криптовалюте и использовали обменники криптовалют и сервисы микширования, чтобы скрыть свои доходы, полученные нечестным путем", - заявило Министерство юстиции США (DoJ).

"Чтобы повысить свои требования о выкупе, сообщники Sodinokibi / REvil также публично раскрывали данные своих жертв, когда жертвы отказывались платить требования о выкупе".

Васинский был экстрадирован в США в марте 2022 года после его ареста в Польше в октябре 2021 года. REvil, до официального выхода в офлайн в конце 2021 года, был ответственен за серию громких атак на JBS и Kaseya.

Ранее он признал себя виновным в Северном округе Техаса по обвинительному заключению из 11 пунктов, обвиняющему его в сговоре с целью совершения мошенничества и связанной с ним деятельности, связанной с компьютерами, повреждении защищенных компьютеров и сговоре с целью отмывания денег.

Министерство юстиции заявило, что также добилось окончательной конфискации миллионов долларов в виде выкупа, полученных в рамках двух связанных гражданских дел о конфискации имущества в 2023 году. Это включает 39,89138522 биткоина и 6,1 миллиона долларов в долларах США, которые были прослежены до предполагаемых выплат выкупа, полученных другими участниками заговора.

Васинский, наряду с гражданином России Евгением Поляниным, был подвергнут санкциям со стороны Управления по контролю за иностранными активами Министерства финансов США (OFAC) в ноябре 2021 года в рамках более широких усилий правительства по борьбе с программами-вымогателями.

Это произошло через несколько недель после того, как Министерство юстиции предъявило обвинение 37-летнему гражданину Молдовы Александру Лефтерову (он же Alipako, Uptime и Alipatime) в управлении ботнетом, включавшим тысячи зараженных компьютеров по всей территории США с марта 2021 года по ноябрь 2021 года, которые затем были монетизированы путем продажи доступа другим участникам угрозы для распространения вредоносного ПО, включая программы-вымогатели.

"Лефтеров и его сообщники украли учетные данные жертв - то есть имена пользователей и пароли – с зараженных компьютеров, а затем использовали учетные данные для получения доступа к учетным записям жертв в финансовых учреждениях, платежных процессингах и предприятиях розничной торговли в качестве средства для кражи денег у жертв", — сказало агентство.

Судебные документы показывают, что к скомпрометированным компьютерам можно было получить прямой доступ с помощью сервера скрытых виртуальных сетевых вычислений (hVNC) без ведома жертв, что позволило Лефтерову и др. войти в свои онлайн-аккаунты.