Ушли в тень: почему хакерская группировка REvil свернула свою деятельность
Хакерская группировка REvil за 2020 год заработала $100 млн — она известна тем, что требует у своих жертв рекордно большие выкупы. Эксперты по кибербезопасности связывают REvil с Россией — участники группировки переписываются между собой на русском языке. Через несколько дней после телефонного разговора Путина и Байдена о деятельности хакеров из России информационные ресурсы REvil пропали из даркнета. Почему REvil свернула свою деятельность и связано ли это с переговорами двух президентов?
Ночью 13 июля из даркнета исчезла вся инфраструктура хакерской группировки REvil. Она распространяет вирусы-вымогатели, которые блокируют доступ компаний к устройствам, шифруя данные, и требует выкуп за дешифратор. Первыми об этом рассказали американские специалисты по информационной безопасности, а также американские СМИ, среди которых были The New York Times и CNBC. У REvil перестали работать все сайты, через которые злоумышленники требовали выкупы у атакованных компаний: в результате их жертвы даже при желании не могли получить дешифратор взамен на деньги. Кроме того, исчез блог группировки: в нем компания рассказывала о своих атаках и публиковала чувствительную информацию, за которую ее жертвы отказывались платить.
На теневых форумах заблокировали аккаунт представителя REvil. Обычно администрация хакерских форумов блокирует учетную запись, если есть риск задержания ее владельца, рассказал Forbes заместитель руководителя «Лаборатории компьютерной криминалистики» Group-IB Олег Скулкин. Участники одного из форумов сообщили, что «техническая поддержка» REvil также недоступна. Некоторые из них предположили, что уход группировки был незапланированным, потому что у них остались «незакрытые вопросы».
Все это произошло через несколько дней после телефонного разговора президентов России и США, во время которого Джо Байден потребовал от Владимира Путина пресечь деятельность вымогателей из России. Что случилось с группировкой REvil и имеет ли Россия к этому отношение?
Российский след
Хакерская группировка REvil (также известна под названием Sodinokibi) работает в даркнете с 2019 года. REvil распространяет свой вирус-шифровальщик через партнеров (других хакеров), которые получают 60-75% от выкупа, рассказывала «Лаборатория Касперского» в своем исследовании в мае 2021 года. Также группировка известна тем, что требует рекордно большие выкупы: за 2020 год она заработала $100 млн.