| 22 октября 2021 г. — 4:16 PT
В апреле группа вымогателей REvil внедрилась в систему сборщика Mac Quanta, чтобы раскрыть дизайны нового MacBook Pro 2021 года перед запуском. Теперь REvil сама была взломана в рамках операции под руководством ФБР, проведенной совместно с Секретной службой и правоохранительными органами нескольких стран.
Правоохранительные органы получили контроль над рядом серверов REvil в рамках операции, направленной на предотвращение дальнейших атак и преследование лиц, причастных к управлению группой вымогателей…
Предыстория
В апреле группа вымогателей REvil заявила, что взломала системы поставщика Apple Quanta Computer и получила внутренние инженерные схемы ряда новых, еще не выпущенных продуктов. В подтверждение своих слов она предоставила примеры, которые изначально не раскрывали ничего нового.
REvil сначала попыталась шантажировать Quanta на 50 миллионов долларов за неразглашение файлов общественности, а затем предприняла ту же попытку в отношении Apple.
Когда это не удалось, REvil опубликовала схемы, которые раскрыли новые порты, представленные в MacBook Pro 2021 года. Точность схем подтвердилась, когда машины были запущены с портами MagSafe, HDMI и слотом для SD-карт.
Группа REvil взломана ФБР
Reuters сообщает, что ФБР и другие правоохранительные органы теперь перешли в контратаку против этой группы.
Группа вымогателей REvil на этой неделе была взломана и отключена в результате многонациональной операции, по словам трех экспертов по кибербезопасности из частного сектора, сотрудничающих с США, и одного бывшего чиновника […] Сайт группы «Happy Blog», который использовался для утечки данных жертв и вымогательства у компаний, больше недоступен […]
Том Келлерманн, руководитель отдела стратегии кибербезопасности VMWare, заявил, что правоохранительные органы и разведывательные службы помешали группе продолжать атаки на компании.
«ФБР совместно с Киберкомандованием, Секретной службой и странами-единомышленниками предприняли значительные сдерживающие действия против этих групп, — сказал Келлерманн, советник Секретной службы США по расследованию киберпреступлений. — REvil была на первом месте в списке».
Считается, что сама атака была проведена командой кибербезопасности «иностранного партнера». Один из участников REvil подтвердил, что это произошло.
Руководитель группы, известный как «0_neday», который помог возобновить работу группы после ее предыдущего закрытия, заявил, что серверы REvil были взломаны неназванной стороной.
«Сервер был скомпрометирован, и они искали меня», — написал «0_neday» на форуме киберпреступников на прошлой неделе, что было впервые замечено фирмой безопасности Recorded Future. «Удачи всем, я ухожу».
В качестве восхитительной иронии правоохранительные органы использовали против группы одну из ее собственных тактик. Распространенным ответом на атаки программ-вымогателей, шифрующих данные, является восстановление из резервных копий. REvil часто внедряет вредоносный код в резервные копии, чтобы помешать этому, и операция под руководством ФБР, как сообщается, сделала то же самое с собственными резервными копиями группы. Они вывели из строя ряд веб-сайтов, используемых группой, и скомпрометировали резервные копии.
Когда член банды «0_neday» и другие восстановили эти веб-сайты из резервной копии в прошлом месяце, он неосознанно перезапустил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.
«Группа вымогателей REvil восстановила инфраструктуру из резервных копий, предполагая, что они не были скомпрометированы», — сказал Олег Скулкин, заместитель начальника лаборатории криминалистики российской компании по безопасности Group-IB. «По иронии судьбы, любимая тактика группы по компрометации резервных копий была обращена против нее самой».