В январе 2022 года прогремели резонансные события в мире киберпреступности. А именно по всей России ФСБ задержали предполагаемых хакеров одной из старейших и наиболее агрессивных группировок REvil, в результате которых она полностью «прекратила существование».
Что такое REvil и в чем она замешана
«Группа REvil являлась одним из старейших и самых агрессивных игроков на рынке программ-вымогателей» и ее деятельность «стала одной из основных причин впечатляющего роста рынка программ-вымогателей», пояснили в Group IB. Хотя REvil фактически ликвидирована, у них остались продолжатели и партнеры, использующие их тактики и техники, подчеркнули в компании.
Оператор REvil утверждал, что выручка группы за 2020 год составила $100 млн; это делает ее наиболее успешной хакерской группировкой, говорилось в отчете «Лаборатории Касперского».
Среди жертв REvil были, например, один из ключевых партнеров Apple — компания Quanta Computer, крупнейший производитель мяса в мире JBS Foods, ИT-гигант Acer и поставщик MSP-решений Kaseya, управляющий компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов.
«Группировка REvil является автором множества нашумевших киберинцидентов и оставила значительный след в истории киберпреступлений», — сказал РБК Мальнев. Он отметил, что группа «внимательно подходила к выбору жертв»: «Прежде всего, мошенники заинтересованы в атаках на крупные компании, так как они в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов».
REvil была одной из самых известных группировок, занимающихся вымогательством по модели RaaS (Ransomware-as-a-Service, «программа-вымогатель как услуга»), сказал РБК основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. RaaS-платформа — это ПО, шифрующее данные жертвы и сливающее их на сервера злоумышленников, плюс инфраструктура ведения переговоров с жертвой и приема/отмывки платежей. Владельцы Raas-платформы сдают ее в аренду своим партнерам, которые уже осуществляют взлом сетей и «заносят» туда вирус-шифровальщик, объяснил Оганесян.
Удар по своим же или другой «след»?
В официальных данных и по «легенде» самих же участников группировки, указывается что REvil никогда не работала против своих же граждан. Все ли так на самом деле? В деле появились новые подробности.
По информации одного из следователей данных дел, в структуре REvil были партнеры, непоощряющие работы и атак против западных «партнеров», поэтому они работали против интересов РФ, проводя атаки и похищая средства у российских лиц и компаний, которые нередко были связаны непосредственно с государством.
Одним из таких предполагаемых «хакеров», несогласным и непричастным к атакам по США и Европе, был 23-летний уроженец Украины - Кравченко Герман, ведущим деятельность и проживающим на вражеского государства.
По данным Центра мониторинга и реагирования на инциденты ИБ ITL Group масштабы нанесенного урона группировкой украинского гражданина российскому государству и компаниям составляет не менее чем 400 миллионов рублей.
Жертвами атак стали такие гиганты как российский государственный банк «ВТБ», онлайн-маркетплейс «Wildberries», и многие другие.
Дело в том, что после «разгрома» REvil атаки на иностранные компании с использованием программного обеспечения, исходных код которого похож на код группировки REvil - стали моментально сходить на «нет», но только вот не в деле с российскими компаниями. Атаки на российские компании происходили с такой же интенсивностью, как и раньше, что и дало почву для размышлений о том, что код вымогателя продолжает свою работу по РФ ни смотря не на что.
Что известно о том, кто стоит за атаками на компании РФ?
По данным ФСБ этим человеком может являться уроженец Украины, 23-летний Кравченко Герман, в узких хакерских кругах известный под псевдонимом «leary».
Так же известно, что данный персонаж или же его «группировка» были замешаны в хищении средств с банковских счетов некоторых политических фигур Российский Федерации, которые происходили в период 2020-2023.
Предполагаемый хакер является либо же одним из партнеров хакерской группировки REvil, либо же самостоятельным киберпреступником который использовал аналогичный программный код, который уже в данном случае был переделан под атаки на компании из РФ.
Так же известно, что в октябре 2021 года Кравченко посещал Российскую Федерацию, в частности он был замечен возле одной из башен делового центра «Москва-Сити». К сожалению, социальные сети данного персонажа закрыты и мы не сможем увидеть, какую роскошную жизнь ведет наш герой за деньги российских компаний и юрлиц.
Российская сторона на данный момент вряд ли сможет добиться экстрадиции украинского гражданина в связи недостаточностью доказательной базы, а даже если бы была, то в связи с нынешними геополитическими событиями это вряд ли представиться возможным.
Точно известно, что в преступной деятельности Кравченка так же фигурируют партнеры, являющиеся гражданами Российский Федерации, проживающие в настоящее время на территории РФ. ФСБ России уже проводит организационные мероприятия для поимки российских сообщников украинского киберпреступника.