Federalna Służba Bezpieczeństwa (FSB) Federacji Rosyjskiej twierdzi, że zlikwidowała gang ransomware REvil. Ponad tuzin członków gangu zostało aresztowanych w wyniku policyjnych nalotów na 25 adresów.
W
oficjalnym oświadczeniu FSB możemy przeczytać:
Podstawą działań poszukiwawczych był apel właściwych organów USA, które doniosły o liderze środowiska przestępczego i jego udziale w ingerencji w zasoby informacyjne zagranicznych firm high-tech poprzez wprowadzanie złośliwego oprogramowania, szyfrowanie informacji i wyłudzanie pieniędzy za ich odszyfrowanie.
Rosyjskie władze zatrzymały 14 osób podejrzanych o udział w operacji ransomware-as-a-service (RaaS) REvil. W ramach akcji skonfiskowały też kryptowaluty i pieniądze fiat o następującej wartości:
- ponad 426 milionów rubli (około 5,5 miliona dolarów)
- 600 tys. dolarów amerykańskich
- 500 tysięcy euro (około 570 tysięcy dolarów).
Rosyjskie władze przejęły również 20 luksusowych samochodów zakupionych za pieniądze uzyskane z cyberataków, komputery i portfele kryptowalutowe wykorzystywane do rozwijania i utrzymywania operacji RaaS.
Poniższy materiał filmowy z nalotów pokazuje, w jaki sposób funkcjonariusze zatrzymali podejrzanych i skonfiskowali pieniądze i elektronikę:
Naloty miały miejsce pod adresami w Moskwie, Sankt Petersburgu, Leningradzie i obwodzie lipieckim.
FSB twierdzi, że udało jej się zidentyfikować wszystkich członków gangu REvil, udokumentować ich nielegalną działalność i ustalić ich udział w "nielegalnym obrocie środkami płatniczymi".
Oprócz tworzenia złośliwego oprogramowania szyfrującego pliki i wdrażania go w sieciach przedsiębiorstw na całym świecie, członkowie REvil byli również zaangażowani w kradzież pieniędzy z kont bankowych zagranicznych obywateli. FSB pisze:
W wyniku wspólnych działań FSB i MSW Rosji zorganizowane środowisko przestępcze przestało istnieć. Infrastruktura informatyczna wykorzystywana do celów przestępczych została zneutralizowana.
Czy to koniec REvil?
Gang REvil (aka Sodin i Sodinokibi) wyłonił się w kwietniu 2019 r. z pustki pozostawionej po zamknięciu grupy GandCrab.
W mniej niż rok stał się najbardziej płodną grupą ransomware, żądając od swoich ofiar jednych z najwyższych okupów. Grupa największą sławę zyskała w sierpniu 2019 r., gdy uderzyła w wiele lokalnych jednostek administracyjnych w Teksasie i zażądała zbiorowego okupu w wysokości 2,5 mln dolarów - najwyższego do tamtej pory.
Wkrótce proszenie o ogromne sumy pieniędzy od dużych organizacji i otrzymywanie zapłaty stało się normą. W ciągu jednego roku gang zażądał okupu w wysokości ponad 100 milionów dolarów.
Najbardziej głośnym atakiem REvil był atak na łańcuch dostaw Kaseya, który sparaliżował około 1500 firm na całym świecie. Żądanie okupu za odszyfrowanie wszystkich organizacji wynosiło 70 milionów dolarów w Bitcoinie.
Atak ten wywołał ostrą reakcję ze strony Stanów Zjednoczonych - prezydent Biden poprosił prezydenta Putina o podjęcie działań przeciwko cyberprzestępcom przebywającym w Rosji. W przeciwnym razie Stany Zjednoczone miałyby podjąć działania na własną rękę.
Gang ten był również pierwszym, który posiadał przedstawiciela posługującego się na początku nickiem UNKN, później zmienionym na Unknown. Promował on działalność REvil RaaS w rosyjskojęzycznej społeczności hakerów kryminalnych.
Przedstawiciel zniknął jednak wkrótce po ataku na Kaseya (niektórzy zakładali, że Unknown został aresztowany), a presja ze strony międzynarodowych organów ścigania wzrosła.
Jak doszło do wpadki?
Po tym ataku grupa REvil zrobiła sobie przerwę, aby wznowić działalność już dwa miesiące później. Hakerzy nie wiedzieli jednak, że organy ścigania włamały się na ich serwery jeszcze przed przerwą, a gdy Ci przywracali systemy z kopii zapasowych, przywrócili również maszyny kontrolowane przez organy ścigania.
Działania FSB przeciwko REvil zostały podjęte po tym, jak amerykańskie i międzynarodowe organizacje organów ścigania połączyły siły w celu zidentyfikowania i aresztowania jej członków.
W rezultacie, w listopadzie 2021 r. Stany Zjednoczone ogłosiły, że aresztowały osobę powiązaną z REvil (obywatel Ukrainy Yaroslav Vasinskyi) odpowiedzialną za atak na Kaseya i przejęły ponad 6 milionów dolarów od innego partnera grupy (obywatel Rosji Yevgeniy Polyanin), który prawdopodobnie przeprowadził około 3000 ataków ransomware.
W tym samym miesiącu władze w Rumunii aresztowały dwóch współpracowników REvil odpowiedzialnych za 5000 ataków ransomware, które przyniosły im 500 000 euro zysku.
Komentarze