Ключевые участники REvil сменили род деятельности после взлома серверов REvil
03/12/21
Аналитик по кибербезопасности испанского гиганта финансовых услуг Santander Group Хуан Антонио Веласко рассказал о недавних карьерных изменениях четырех предполагаемых участников вымогательской группировки REvil, использующих псевдонимы Orange, MRT, Kajit и 999.
Все они какое-то время были активны на различных подпольных форумах. Orange был главным администратором хакерского форума Ramp и сообщил подробности деятельности вымогательской группировки Babuk после ее атаки на столичное полицейское управление Вашингтона в апреле 2021 года. 999 был модератором форума Ramp. Kajit также выполнял некоторые обязанности модератора и действовал на конкурирующих форумах, таких как XSS и Exploit.
Киберпреступники сменили род деятельности 18 октября нынешнего года после того, как серверы группировки REvil были взломаны . Orange, MRT и 999 решили заняться частной деятельностью, а Kajit взял на себя роль администратора Ramp. Анализ трафика на криминальных форумах, проведенный Веласко, позволяет предположить, что он или она теперь поддерживает связь с операторами вымогателя REvil. Kajit также инициировал(ла) редизайн форума Ramp.
Как отметил исследователь, 18 октября серверы REvil были отключены, однако это не означает прекращение преступной деятельности группировки. По словам Веласко, операции теперь разделены между группами, которые взламывают сети, а затем продают доступ брокерам начального доступа. Последние, в свою очередь, перепродают возможность доступа хакерам, осуществляющим фактический взлом сетей жертвы, установку программ-вымогателей и кражу данных.
Брокеры доступа разделились на розничных и оптовых торговцев. Последние продают наборы доступов к сетям по цене от $10 тыс. до $20 тыс. Розничные продавцы продают доступы к отдельным сетям по цене от $300 до $1 тыс.
Злоумышленники активно ищут партнеров на форумах и прочих ресурсах. Между брокерами начального доступа и преступниками складываются долгосрочные отношения. Как отметил Веласко, форумы создают инструменты для безопасного проведения транзакций.
Более того, администраторы форума Ramp обратились к китайским коллегам с предложением участвовать в обсуждениях, делиться советами и сотрудничать при атаках. Влиятельные пользователи и администраторы форума активно пытались общаться с новыми участниками форума на китайском языке с помощью машинного перевода.