Хакерская группировка REvil, распространяющая одноименный вирус-вымогатель, исчезла из даркнета. На момент публикации отключен ее основной сайт – Happy Blog ("Счастливый блог"), где публиковались данные жертв с требованием выкупа, а аккаунт техподдержки забанен на хакерских форумах.
Блог перестал открываться 13 июля в восемь утра по московскому времени. Почти одновременно группа была забанена на форумах. Из-за отключения этих ресурсов некоторые пострадавшие компании лишились возможности договориться с хакерами и вернуть контроль над своими системами. Новость обошла мировые СМИ – The New York Times, Bloomberg и CNBC.
В июне 2021 года ФБР обвинило REvil, также известную как Sodinokibi, в кибератаке на крупнейшего в мире производителя мяса, бразильскую компанию JBS. Из-за атаки JBS остановила работу своих заводов в США, Канаде и Австралии. В итоге компания заплатила вымогателям 11 млн долларов. Кроме того, в апреле REvil брала на себя ответственность за взлом Quanta – тайваньского поставщика Apple, который производит для корпорации макбуки. А в июле группировку связывали с масштабной кибератакой, затронувшей, по некоторым данным, более тысячи компаний.
Участники REvil говорят и пишут на русском. "Скорее всего, они находятся под защитой российской разведки или российского правительства, как и большинство группировок, занимающихся вымогательством", – заявил CNBC топ-менеджер компании Arete Incident Response Марк Блейхер (ведет переговоры с хакерами, в частности от лица жертв REvil).
REvil пропала из даркнета через несколько дней после телефонного разговора президентов США и России. Джо Байден потребовал от Владимира Путина пресечь деятельность хакеров-вымогателей, базирующихся в России. "Я очень ясно дал понять, что США ожидают от России действий, если вымогатели работают с ее территории, даже если их не поддерживает государство", – заявил Байден журналистам после разговора. Он добавил, что США сами отключат серверы хакеров, если Россия будет бездействовать.
СМОТРИТЕ ТАКЖЕ: Путин и Байден завершили переговоры на вилле в Женеве: они продолжались более трех часовПочему остановили работу сайты REvil, неизвестно. The New York Times приводит три версии произошедшего: либо их отключили власти США, либо это сделали власти России, либо хакеры сами решили залечь на дно, так как их деятельность привлекла слишком много внимания. В последнюю версию верят не все. "Эти парни – хвастуны. Но тут мы не увидели никаких записок, никакого хвастовства. Такое ощущение, что они бросили все под давлением", – заявил старший аналитик компании по кибербезопасности компании Recorded Future Аллан Лиска.
В отличие от большинства хакерских группировок, занимающихся вымогательством, REvil активно переписывались на хакерских форумах и даже давали интервью. В июле 2021 года администратор REvil под псевдонимом Unknown пообщался с ютуб-каналом Russian OSINT (текстовые ответы были переозвучены для видео). Unknown рассказал, что название группировки заимствовал у популярной серии компьютерных игр Resident Evil, а его мечта – заработать миллиард долларов "или пять, если будет хорошее настроение". Ежегодная выручка REvil, по его словам, перевалила за миллиард рублей.
"Серьезно, я не удивлюсь, если меня убьют. Я это пойму", – отметил Unknown.
"Кто-нибудь стащил все биткоины и смылся". Еще одна версия исчезновения REvil
В начале мая другая, предположительно, связанная с Россией группировка DarkSide атаковала американскую трубопроводную компанию Colonial Pipeline. Компания восстановила работу трубопровода только через неделю, выплатив вымогателям 4,4 млн долларов. Позже Минюст США заявил, что сумел вернуть 2,3 млн долларов из этой суммы. В середине мая DarkSide заявила об остановке работы из-за давления властей США. Но эксперты полагают, что хакеры просто продолжат свою деятельность под другим названием.
Основатель компании "Интернет-безопасность" Игорь Бедеров не исключает, что по такому же пути пойдет и REvil. "Как мы понимаем, название группировки и ее состав – это в большой степени условность, – объясняет Бедеров Настоящему Времени. – Лица, которые пишут код, которые распространяют шифровальщик, которые обналичивают средства, – это временные игроки. В основе остается программное обеспечение. Мы это наблюдали в случае с DarkSide – это тот же самый шифровальщик REvil, но с минимальными изменениями. Это позволяет экспертам ставить под сомнение реальность группировки DarkSide – под ней мог скрываться тот же REvil".
Сходство REvil и Darkside не исчерпывается программным кодом и загадочным исчезновением с разницей в два месяца. У группировок общая бизнес-модель, отмечает российский хакер Дмитрий Артимович. "Они делали сам шифровальщик, платежный шлюз, а заражением машин занимались их партнеры, которые получали до 80% от выкупа. Поэтому если группировка по какой-то причине решила прекратить деятельность, то все выглядит вполне логично – отрубить все и исчезнуть с деньгами, в том числе с деньгами партнеров", – говорит Артимович.
Причину исчезновения REvil могут прояснить операции на биткоин-кошельках группы, которые известны экспертам по кибербезопасности, продолжает Артимович: "Может, они слишком много внимания к себе привлекли, может, у них в команде какой-то разлад: кто-нибудь стащил все биткоины и смылся – это же криминальный бизнес, тут в полицию не обратишься".