REvil

  • Хакерската група REvil депозира 1 млн. USD за набиране на хакери

    Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

    Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

    Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

  • Производителят на Jack Daniel’s и Finlandia показа как се действа при атака с криптовирус (ransomware)

    Американският гигант Brown-Forman, собственик на марките уиски Jack Daniel’s, водка Finlandia и др., е най-новата по-известна жертва на атака с криптовирус. Компанията, обаче, може да послужи за пример с реакцията си.

    Историята: според Bloomberg, Brown-Forman са станали жертва на добре познатите REvil / Sodinokibi. Зловредният код първо източва информацията от работните станции на жертвите си, а след това ги криптира. В случая се твърди, че са източени 1 терабайт данни, обхващащи над период от над 10 години от дейността на организацията.

    Какъв е бил отговорът на компанията на исканията откуп? Изглежда, че Brown-Forman са казали на киберпрестъпниците да ги изпратят „там, където слънцето не огрява“.

    Междувременно, не е имало данни, че компанията е спирала принудително дейността си, което говори за добра политика за реакция при кибератака – най-вероятно, актуални резервни копия на информацията. И най-вероятно политики за ограничаване негативното въздействие върху партньори, доставчици, кредитори, дистрибутори, търговци на дребно и др.

    Добра работа, Brown-Forman!

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    [button color=“green“ size=“big“ link=“https://threatpost.com/revil-ransomware-gang-auction-stolen-data/157006//“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Фалшиво решение за декриптиране на STOP Djvu Ransomware криптира повторно файлове на жертвите си

    Поредното доказателство, че не трябва да се доверяваме сляпо на всичко, което пише в интернет е факт. Става въпрос за мнимо решение за декриптиране на файловете, засегнати от STOP Djvu Ransomware.

    Казусът: вместо да решава проблеми, то създава нови такива и криптира още веднъж вече криптираните от зловредния код файлове.

    Ежедневно STOP Djvu поразява средно 600 потребителя. Това е повече, отколкото жертвите на Maze, REvil, Netwalker и DoppelPaymer взети заедно. Изброените зловредни кодове са и най-печелившите в момента от гледна точка „оборот“, генериран на база събраните откупи от жертвите.

    Научете повече за новото поколение криптовируси тук.

    [button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/06/08/double-crossing-ransomware-decryptor-scrambles-your-files-again/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Back to top button