Grupa koja stoji iza ransomwarea REvil tvrdi da je za godinu dana zaradila više od 100 miliona dolara

Vesti, 29.10.2020, 10:30 AM

Grupa koja stoji iza ransomwarea REvil tvrdi da je za godinu dana od velikih kompanija iz celog sveta, koje posluju u različitim sektorima, uspela da iznudi više od 100 miliona dolara.

Predstavnik REvila koji na hakerskim forumima koristi pseudonime „UNKN“ i „Unknown“, otkrio je YT kanalu Russian OSINT neke detalje o aktivnosti grupe i planovima za budućnost, prenosi Bleeping Computer.

Biznis sa ransomwareom REvil organizovan je kao usluga (ransomware-as-a-service (RaaS). Ovaj model poslovanja podrazumeva da programeri daju drugim sajber-kriminalcima, svojim partnerima, malver za šifrovanje fajlova, da bi im na kraju pripao ne mali deo od novca koji je iznuđen od žrtava.

Programeri REvila konkretno uzimaju 20-30%, a ostatak plaćene otkupnine ide onima koji izvršavaju napade, kradu podatke i aktiviraju ransomware u korporativnim mrežama.

„Većinu posla obavljaju distributeri, a ransomvare je samo alat, pa misle da je to poštena podela“, kaže predstavnik REvila.

Programeri određuju iznos otkupnine, vode pregovore i prikupljaju novac koji kasnije dele sa partnerima.

REvil je u početku zarađivao od žrtava koje su plaćale otkupninu za dešifrovanje fajlova. Budući da su napadači šifrovali i backup servere, žrtve su imale malo mogućnosti za oporavak, a plaćanje je bio najbrži način.

Posao sa ransomwareom se promenio prošle godine kada su kriminalci videli priliku u krađi podataka sa hakovanih mreža i počeli da prete žrtvama objavljivanajem ukradenih podataka što bi moglo imati mnogo gori uticaj na kompanije.

Ovaj model se pokazao toliko unosnim da REvil sada više zarađuje od neobjavljivanja ukradenih podataka nego od otkupnine koju žrtve plaćaju za dešifrovanje.

Predstavnik grupe kaže da je svaka treća žrtva trenutno spremna da plati otkupninu da bi sprečila curenje podataka. Ovo bi mogao biti sledeći korak u poslovanju sa ransomwareom.

REvil takođe razmišlja da primeni još jednu taktiku koja bi prema njihovom mišljenju trebalo da poveća izglede za plaćanje a to je DDoS napad na žrtve kako bi se primorale da barem počnu da pregovaraju o plaćanju.

Grupa koja koristi SunCrypt ransomware je nedavno koristila ovu taktiku sa kompanijom koja je prekinula pregovore. Napadači su jasno stavili do znanja da su pokrenuli DDoS napad i prekinuli ga kada su pregovori nastavljeni. REvil planira da primenjuje ovu taktiku.

REvilov model za zarađivanje novca funkcioniše i grupa već ima dosta novca u svojoj kasi. U potrazi za novim partnerima, deponovali su milion dolara u bitkoinima na jednom ruskom forumu da bi pokazali da njihov biznis donosi veliku zaradu i da bi privukli nove saradnike za distribuciju malvera.

Iako su veoma bogati, programeri REvila ne smeju izvan granica zemalja nekadašnjeg SSSR-a. Razlog za to su napadi na velike kompanije koji su privukli pažnju policija brojnih država. Putovanje za članove grupe zato predstavlja rizik koji oni nisu spremni da preuzmu.

Grupa REvil se naziva i Sodin ili Sodinokibi, a ime REvil inspirisano je filmom Resident Evil i skraćenica je od Ransomware Evil.

Njihov ransomware prvi put je primećen u aprilu 2019. godine, a grupa je počela da traži kvalifikovane hakere ubrzo nakon što je grupa koja je distribuirala ransomware GandCrab najavila povlačenje iz posla. Međutim, istraživači iz kompanije Secureworks objavili su prošle godine da se grupa GandCrab nikada nije raspala niti povukla iz posla sa ransomwareom već da su promenili ransomware i ime i da je REvil ista grupa ljudi.

Unknown kaže da ransomware REvil nisu razvijali od nule, već da su kupili izvorni kod na kome su bazirali svoj ransomware.

Prilikom najave povlačenja, programeri GandCraba rekli su da su oni sami zaradili 150 miliona dolara, dok je ransomware od žrtava prikupio više od dve milijarde dolara na ime otkupnina.

Ambicije programera REvila su po svemu sudeći mnogo veće.