جیمی ترابای (بلومبرگ) – آنها از انجمن های هکری برای استخدام شرکت های وابسته ، تبلیغ طرح های تقسیم سود و مصاحبه در مورد فنون خود حمایت می کنند.
REvil ، گروه هکرهای مرتبط با روسیه که FBI گفت مسئول حمله سایبری به JBS SA ، بزرگترین تولید کننده گوشت در جهان است ، به عنوان یکی از پربارترین – و عمومی ترین – گروه های باج افزار در سال های اخیر ظاهر شده است.
این هکرها که با نام Sodinokibi نیز شناخته می شوند ، از زمانی که این گروه برای اولین بار به عنوان یک تهدید امنیتی در سال 2019 مطرح شد ، در خط مقدم باج افزار به عنوان یک سرویس حملات سایبری قرار داشته اند. در ازای قطع پرداخت دیه در حمله استفاده کنید. به منظور استخدام استعدادها ، REvil یک میلیون دلار در بیت کوین سپرده گذاری کرد به عنوان راهی که به افراد وابسته بالقوه خیال خود را راحت کند و پول خود را دریافت کنند.
آلن لیسکا ، تحلیلگر ارشد تهدید در شرکت امنیت سایبری Recorded Future Inc. ، گفت: “جسارت بخشی از شخصیت آنها است.”
Ransomware به ویژه به دنبال حمله ماه گذشته شرکت Colonial Pipeline که منابع سوخت آن را در سواحل شرقی فشرده کرده بود ، به یک مشکل پر درد دولت Biden تبدیل شده است. حملات دیگر اخیر ، بخش پلیس در واشنگتن دی سی ، یک شبکه بیمارستانی در کالیفرنیا و اکنون یکی از تأمین کنندگان عمده گوشت ، را هدف قرار داده است.
Ransomware نوعی هک است که در آن پرونده های رایانه ای قربانی رمزگذاری می شوند و باعث می شود تا پرداخت دیه از آنها استفاده نگردد. برخی از گروه های باج افزار نیز پرونده ها را می دزدند و راهی دیگر برای اخاذی فراهم می کنند. REvil صفحه ای را در صفحه وب تاریک تحت عنوان “وبلاگ مبارک” نگهداری می کند ، جایی که اسناد حساس قربانیان را به عنوان انگیزه اضافی برای تحت فشار قرار دادن آنها برای پرداخت ، نشت یا حراج می کند.
Kelli Vanderlee ، مدیر ارشد تجزیه و تحلیل در Mandiant Threat Intelligence ، بخشی از FireEye Inc ، گفت: از سال 2017 ، باج افزار بر سایر حملات سایبری با انگیزه مالی تسلط یافته است ، در حالی که حملات محدود به نوع خاصی از قربانیان نیست ، وندرلی گفت ، داده ها حاکی از آن است که به طور متناسب بر بخش تولید تأثیر می گذارد. وی گفت: “به احتمال زیاد چندین عامل م ،ثر وجود دارد ، از جمله این تصور كه تولیدكنندگان احتمالاً برای جلوگیری از ضررهای مالی ناشی از توقف تولید ، بیشتر پرداخت می كنند.”
طبق گفته CrowdStrike Holdings Inc ، REVil از گروه GandCrab سابق ، یک باج افزار به عنوان سرویس که اعلام کرد در سال 2019 مغازه خود را بسته اند ، ظهور کرد که تایید کرد REvil پشت حمله JBS است. به گزارش وبلاگ امنیت سایبری KrebsonSecurity ، GandCrab نوشت: “ما در حال بازنشستگی شایسته خود هستیم.” “ما ثابت می کنیم که شما می توانید شرارت کنید و بدون لکه بینی خارج شوید.”
مشخص نیست که اپراتورهای GandCrab به سادگی نام جدیدی به خود برند یا اپراتورهای REvil کد GandCrab را خریداری یا سرقت کرده اند. در هر صورت ، تا زمان امضای GandCrab ، REvil از قبل به عنوان یک برنامه باج افزار اختصاصی در حال اجرا بود که به “Sodin” یا “Sodinokibi” نیز معروف بود.
در ماه مه 2019 ، یک نماینده از گروه ، با نام مستعار “ناشناخته” ، تعداد کمی از شرکای خود را در انجمن های هک برای یک برنامه جدید باج افزار به عنوان سرویس جستجو کرد. بر اساس KrebsonSecurity ، “پنج شركت وابسته دیگر می توانند به این برنامه بپیوندند و سپس ما زیر رادیو خواهیم رفت.” “10 هزار دلار برای هر شرکت وابسته تضمین شده است. کاهش شما در ابتدا 60٪ و پس از انجام سه پرداخت اول 70٪ است. پنج شرکت وابسته تضمین می شود [USD] در کل 50،000 ما چندین سال ، به طور خاص پنج سال در این زمینه کار کرده ایم. ما به حرفه ای ها علاقه مند هستیم. “
Jon DiMaggio ، استراتژیست ارشد امنیتی در Analyst1 مستقر در ویرجینیا ، گفت: “آنها تبلیغات مشترک سود را ارائه می دهند و زیرساخت ها و باج افزارها ، مذاکرات باج و توزیع وجوه را فراهم می کنند.” “آنها تمام معاملات بیت کوین و مواردی از این دست را مدیریت می کنند.”
وی گفت ، مانند بسیاری از گروههای باج افزار با تاسیس ، REvil اهداف بالقوه را تحقیق می کند تا اطمینان حاصل کند که آنها توانایی پرداخت دارند ، از جمله اینکه آیا قربانیان بیمه حملات سایبری را حمل می کنند. یکی از همکاران REvil در مصاحبه ای گفت که هدف قرار دادن شرکت هایی با بیمه سایبری “یکی از خوشمزه ترین لقمه ها” است.
Recorded Future اعلام کرد که از سال 2019 حداقل 237 قربانی REVil را آگاه کرده است.
REvil اوایل سال جاری اعتبار هک کردن تأمین کننده سخت افزار Quanta Computer Inc. را به عهده گرفت و در این روند طرح های مخفی برای دستگاه های جدید Apple Inc. منتشر کرد. در سال 2020 ، REvil حمله باج افزار را علیه یک شرکت حقوقی که ادعا می کردند زمانی نمایندگی برخی از شرکت های تلویزیونی دونالد ترامپ بود ، انجام داد. در سال 2019 ، این گروه یک هفته قبل از روز انتخابات به گروهی از کارمندان انتخابات لوئیزیانا نیز حمله کرد.
به گفته DiMaggio ، REvil چنان در دام باج افزار غوطه ور است که اعضای آن مرتباً در بحث درباره بدافزار در انجمن هکرها سنگین می کنند. وی گفت که آنها همچنین ارتباط مستقیمی با سایر گروه های باج افزار از جمله DarkSide دارند ، هکرهایی که به حمله در ماه مه به Colonial Pipeline متهم شده اند.
هنگامی که سایت DarkSide پس از حمله استعمار از کار افتاد ، REVil جامعه هکری را در مورد آن هشدار داد ، گفت: دی ماجیو ، که مدتهاست باندهای جرایم سایبری روسی را مطالعه کرده است. “آنها به شدت درگیر هستند. آنها بچه کلاس هستند که همیشه باید دست خود را بالا ببرند. آنها در جامعه بسیار پر سر و صدا هستند. “
دی ماجیو و دیگر تحلیلگران گفته اند كه هكرهای Revil بیشتر به زبان روسی ارتباط برقرار می كنند و از اهدافی كه از خط سیریلیك استفاده می كنند ، دور می شوند – این سیستم برای زبانهای اروپای شرقی و کشورهای اسلاوی است. در مصاحبه ، REVil’s Unknown گفت این گروه به دلیل ژئوپلیتیک ، قوانین و میهن پرستی از این کشورها اجتناب می کند.
این توافق همچنین به “ولادیمیر پوتین” رئیس جمهور روسیه “قابل انكار پذیری قابل قبولی” در برابر اتهامات كاخ سفید و دیگران مبنی بر دست داشتن روسیه در حملات می دهد.
DiMaggio گفت: “كامل مدل باج افزار در تاكتیك هایی كه ما طی سالهای گذشته از روسیه دیده ایم متناسب است.”
جذابیت هکرها بالقوه سودهای کلان با حداقل خطر است. شخصی که ادعا می شود “ناشناخته” از REvil است در مصاحبه مارس با Recorded Future گفت: “در دوران کودکی من با انبوه زباله ها روبرو شدم و ته سیگار را دود کردم.” “من شش ماه همین لباس را می پوشیدم. در خردسالم ، در یک آپارتمان مشترک ، دو یا حتی سه روز غذا نمی خوردم. حالا من یک میلیونر هستم. “