REvil вернулся?
Они взяли на себя ответственность за недавнюю DDoS-атаку на одного из клиентов облачного провайдера Akamai, работающего в сетевом гостиничном бизнесе. Тем не менее, скорее всего эта атака является не возрождением печально известной киберпреступной группировки, а под ее именем действуют подражатели, считают исследователи.
Исследователи отслеживают DDoS-атаку с 12 мая, когда клиент предупредил группу реагирования на инциденты безопасности (SIRT) о попытке атаки со стороны группировки, утверждающей, что она связана с REvil, сообщил Akamai.
DDoS-атака состояла из простого HTTP/2 GET-запроса, содержащего встроенное 554-байтное сообщение с требованием оплаты. В сообщении говорилось, что для прекращения атаки необходимо перевести BTC на адрес кошелька. Кроме того, вымогатели требовали прекратить бизнес-операции по всей стране.
«В данный момент атака нацелена на сайт, отправляя волну запросов HTTP/2 GET с методами разрушения кэша», — написал в своем посте исследователь уязвимостей Akamai SIRT Ларри Кэшдоллар, - Запросы содержат встроенные требования об оплате, биткойн-кошельке (BTC) и деловые/политические требования».
Однако, хотя злоумышленники утверждают, что они представляют REvil, в настоящее время это не подтверждено, считают исследователи.
Похоже, что за DDoS-кампанией стоит и политическая мотивация, что несовместимо с предыдущей тактикой REvil, в которой группа утверждала, что мотивирована исключительно финансовой выгодой.
REvil, ликвидированная в июле 2021 года, представляла собой группу программ-вымогателей, хорошо известную своими громкими атаками на Kaseya, JBS Foods и Apple Computer. Подрывной характер ее атак побудил международные власти принять жесткие меры, и в ноябре 2021 года Европол арестовал несколько членов банды.
Наконец, в марте 2022 года ФСБ России объявило о полной ликвидации группы по запросу правительства США, задержав ее отдельных членов. Один из арестованных в свое время активно помогал группе вымогателей DarkSide организовать атаку в мае 2021 года на Colonial Pipeline, в результате которой компания заплатила выкуп в размере 5 миллионов долларов.
Исследователи заявили, что в недавней DDoS-атаке, вымогатели приказали жертве отправить платеж BTC на адрес кошелька, номер которого не имеет очевидной связи с оригинальной REvil.
Кэшдоллар считает, что за атакой стоят подражатели. Потому что обычно цель REvil состояла в том, чтобы получить доступ к корпоративной сети организации и зашифровать или украсть конфиденциальные данные, требуя оплаты за расшифровку или предотвращение их утечки, а в случае отказа угрожать публичным раскрытием информации.
Тактика, использованная в DDoS-атаке, отклоняется от их обычной, пишет Кэшдоллар. Политическая мотивация, связанная с атакой, также идет вразрез с заявлениями лидеров REvil о том, что они руководствуются исключительно прибылью.
Хотя не исключено, что REvil стремится возродиться, осваивая новую бизнес-модель, скорее всего злоумышленники просто используют имя печально известной киберпреступной группы, чтобы запугать организацию и заставить ее выполнить свои требования.