Группировка хакеров REvil, известная по целому ряду громких атак, уже больше недели не подает признаков жизни: сайты группы в даркнете перестали отвечать на поисковые запросы. Это произошло вскоре после того, как президент США Джо Байден в телефонном разговоре с Владимиром Путиным пожаловался на кибератаки со стороны групп, базирующихся в России. О том, что известно о хакерах и их исчезновении — в материале «МБХ медиа».
Специалисты по компьютерной безопасности впервые обратили внимание на исчезновение группы 13 июля. «Все сайты REvil не работают, включая сайты, где обсуждали и получали выкуп», — написал у себя в твиттере американский специалист по компьютерной безопасности Лоренс Абрамс.
Как работали
Группа была очень активна в последнее время: она специализировалась на взломах различных компаний с дальнейшим требованием выкупа в обмен на отказ от публикации украденных внутренних документов. Если жертвы не хотела платить, REvil исполняла угрозу. Мрачная ирония заключалась в том, что похищенные сведения публиковались на сайте в даркнете под названием «Счастливый блог».
В среднем REvil проводила больше 10 различных кибератак в месяц. На ее счету, например, была скоординированное компьютерное нападение почти на два десятка местных органов власти в Техасе в 2019 году.
Среди жертв хакеров недавно оказался даже партнер Apple — компания Quanta Computer. В апреле этого года злоумышленники взломали сети фирмы и похитили чертежи будущих ноутбуков MacBook и другой техники Apple. Кибервзломщики запросили выкуп в размере 50 миллионов долларов. В случае невыполнения требования REvil обещала слить в открытый доступ более десятка схем и чертежей компонентов MacBook. Через некоторое время хакеры удалили все упоминания о взломе. Получили ли они выкуп, неизвестно.
По данным ФБР, число громких преступлений REvil, в частности, входит атака на филиалы крупнейшего мирового поставщика мяса JBS, которые располагаются на территории США и в Австралии. В результате была парализована работа заводов компании, а JBS пришлось заплатить хакерам 11 миллионов долларов.
Атаки на Apple и JBS стали одними из самых масштабных в истории группировки. До этого злоумышленники в основном выбирали себе цели помельче, да и выкуп просили совсем не такой крупный. Специалист по компьютерной безопасности Марк Блейхер, проанализировавший 173 атаки REvil, в разговоре с CNBC рассказал, что в среднем сумма выкупа составляла 728 тысяч долларов, а после переговоров и вовсе порой снижалась до 129 тысяч.
Деятельность REvil была похожа на отлаженный бизнес-процесс, отмечают специалисты. У группировки была своя «служба поддержки» пострадавших «клиентов», команды специалистов по программному обеспечению и даже интернет-площадка, на которой вербовали новых хакеров (объявления о приеме на работу, кстати, публиковались на русском языке). У REvil был и свой характерный почерк — например, злоумышленники часто узнавали личный мобильный номер гендиректора компании-жертвы и затем регулярно звонили ему, чтобы посмеяться над ним и потребовать выкуп.
Последней крупной «операцией» REvil была атака на американскую IT-компанию Kaseya, произошедшая 2 июля. В результате действий киберпреступников пострадали около 1,5 тысяч клиентов фирмы в шести странах мира. Их данные были зашифрованы, а хакеры потребовали выплаты 70 миллионов долларов за софт для расшифровки.
Куда пропали
Специалисты считают, что за исчезновением хакеров могут стоять российские власти, для которых такая «жертва» могла стать шагом в выстраивании новых отношений между Россией и США. На встрече президентов двух стран 16 июня в Женеве Байден передал российскому коллеге список из 16 критических важных для США секторов экономики, атака на которые недопустима и чревата объявлением ответной кибервойны. А в недавнем телефонном разговоре, пожаловался Путину на действия хакеров, предположительно связанных с Россией.
В администрации Байдена допускают, что исчезновение REvil может быть связано с вмешательством Кремля, но точных данных у властей США тоже нет.
«Мы заметили, что они [REvil] поутихли. Но мы не знаем, почему. Тем не менее, мы будем и дальше давить на Россию, требовать, чтобы они приняли меры против киберпреступников, которые находятся на их территории. Пока что мы не празднуем победу [над хакерами]», – цитирует журнал Politico высокопоставленного чиновника Белого дома, имя которого издание не раскрывает.
Однако специалисты по кибербезопасности не исключают и других вариантов. «Есть две версии: REvil решили сами избавиться от своей инфраструктуры и, возможно, через некоторое время продолжат работать, но уже под другим именем и с обновленной программой-вымогателем. Или же дело в операции правоохранительных органов — возможно, российских, но, быть может, и международных», — рассказали «МБХ медиа» в компании Group-IB, которая занимается предотвращением кибератак и расследованиями высокотехнологичных преступлений.