«Вернулись из отпуска»: хакеры из REvil возобновили свою активность в даркнете
Хакеры из REvil восстановили свою инфраструктуру в даркнете. Американские эксперты в сфере кибербезопасности говорят о возможной связи группировки с Россией
Хакерская группировка REviL, организовавшая кибератаку на крупнейшего поставщика мяса — бразильскую компанию JBS, возобновила свою активность в теневом интернете. Об этом сообщает Bloomberg со ссылкой на экспертов в сфере кибербезопасности.
В июне ФБР обвинила REvil в атаке на бразильского производителя мяса JBS. Из-за этого компании пришлось приостановить работу части своих предприятий и заплатить хакерам $11 млн в качестве выкупа. Американские эксперты заявляли о возможной связи REvil с российскими спецслужбами.
К середине июля из даркнета исчезла вся инфраструктура REvil. Группировка распространяла вирусы-вымогатели, которые блокируют доступ компаний к устройствам, шифруя данные, и требовала выкуп за дешифратор. Первыми о свертывании инфраструктуры хакеров рассказали американские специалисты по информационной безопасности, а также американские СМИ, среди которых были The New York Times и CNBC.
У REvil ночью 13 июля перестали работать все сайты, через которые злоумышленники требовали выкупы. Исчез и блог группировки. Сейчас REvil перезапустила «Счастливый блог», где публикует образцы данных, украденных до блокировки компаний из их собственных сетей. Портал, который REvil использует для ведения переговоров с жертвами, также вернулся в сеть, сообщил специалист по кибербезопасности Адам Майерс. По его словам, вымогатели пока не публиковали данных о новых жертвах своих атак.
Майерс предположил, что сайт был восстановлен теми же участниками, которые управляли порталом до того, как он отключился без объяснения причин. «Я бы подумал, что это был период охлаждения. В июне-июле было очень жарко. Может быть, они восстановили какую-то инфраструктуру и вложили средства в повышение операционной безопасности», — считает эксперт.
«Обычно группы берут небольшой летний перерыв, поэтому мы наблюдаем некоторое замедление», — сказал специалист по кибербезопасности Джейк Уильямс. «Этот год ничем не отличался от предыдущего с серьезным летним затишьем в финансово мотивированной деятельности вымогателей. Я еще не видел значительного роста, но сейчас мы входим в окно, когда эти злоумышленники возвращаются к работе», — объяснил он возможные причины возобновления активности хакерской группировки.
REvil, как правило, атакует инженерно-производственный сектор (30% всех атак), финансовые организации (14%), поставщиков услуг (9%), юридические фирмы (7%), а также ИТ и телеком-компании (7%), говорилось в майском исследовании «Лаборатории Касперского». В марте 2021 года группировка атаковала компанию Acer, а в апреле похитила у производителя компьютерной техники Quanta Computer данные, представляющие собой чертежи, и опубликовала их: по данным REvil, это были чертежи устройств Apple. У обеих компаний вымогатели требовали по $50 млн.