پایان REvil در روسیه زمینه را برای بسیاری از سناریوها فراهم می کند

مقامات روسی روز جمعه گفتند که عملیات باج افزار REvil را تعطیل کرده و ده ها یا چند عضو باند را دستگیر کرده اند.

سرویس امنیت فدرال (FSB) فدراسیون روسیه اعلام کرد که پس از گزارش مقامات آمریکایی، حلقه باج افزار REvil را بسته است.

بر اساس بیانیه مطبوعاتی آژانس امنیت روسیه، پلیس روسیه به 25 آدرس متعلق به 14 عضو مظنون باند در مناطق مسکو، سن پترزبورگ، لنینگراد و لیپتسک یورش برد.

بنا بر گزارش ها، مقامات بیش از 426 میلیون روبل روسیه و همچنین 600000 دلار و 500000 یورو پول نقد به همراه کیف پول ارزهای دیجیتال، رایانه و 20 خودرو گران قیمت را مصادره کردند.

FSB سازمان اطلاعات داخلی روسیه است. و بر اساس بیانیه مطبوعاتی، عملیات خود را به درخواست مقامات آمریکایی انجام داد که نتایج آن را به اطلاع آنها رساندند.

جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Thycotic، خاطرنشان کرد که گروه REvil یک باج‌افزار معروف است که بسیاری از سازمان‌ها را در سراسر جهان ویرانی به بار آورده است. بنابراین، جای تعجب نیست که آنها یک هدف هستند.

او می گوید: “بسیاری از هکرها در سراسر جهان از مهارت های خود برای خیر استفاده می کنند، و این شامل هکرهای دولتی می شود که به طور تهاجمی برای دفاع از جامعه در برابر جرایم سایبری تلاش می کنند. بنابراین، هدف قرار دادن REvil احتمالاً بیانیه ای است که دولت ها با یکدیگر همکاری خواهند کرد تا مجرمان سایبری را در منبع متوقف کنند.” به TechNewsWorld گفت.

جزئیات را ضبط و به دست آورید

طبق داده های FSB، این گروه “دیگر وجود ندارد”. این آژانس نشان داد که پس از دریافت اطلاعاتی در مورد گروه Revell از ایالات متحده اقدام کرده است

این حمله به دنبال درخواست‌های مکرر مقامات آمریکایی در تابستان برای اقدام علیه اکوسیستم جرایم سایبری زیرزمینی روسیه صورت می‌گیرد. احتمالاً در پاسخ به این، باند REvil در ماه ژوئیه به فعالیت خود پایان داد، اما قبل از اینکه مقامات ایالات متحده برخی از سرورهای وب تاریک آن را مصادره کنند، در سپتامبر فعالیت خود را از سر گرفتند.

علاوه بر دستگیری‌های گزارش‌شده در روسیه، هفت عضو دیگر باند REvil نیز در طول سال 2021 دستگیر شدند. این دستگیری‌ها به دنبال عملیات‌هایی بود که توسط FBI و Europol هماهنگ شده بود.

“اعضای بازداشت شده به جرایمی بر اساس بخش 2 این ماده متهم شدند. دفتر امنیت فدرال در بیانیه مطبوعاتی خود 187 “گردش غیرقانونی وسایل پرداخت” قانون جنایی روسیه را اعلام کرد.

خبرگزاری تاس روسیه گزارش داد که باند ریول مرتکب دو تخلف عمده قانونی شده است. مجرمان سایبری بدافزاری تولید کرده اند و سرقت وجوه از حساب های بانکی اتباع خارجی را سازماندهی کرده اند.

تعداد کمی شناسنامه منتشر شده است

مقامات روسی در ابتدا هیچ یک از مظنونان بازداشت شده را شناسایی نکردند. اما بعداً خبرگزاری روسی RBC گزارش داد که یکی از مظنونان رومن مورومسکی است و TASS عضو دوم را آندری بسونوف معرفی کرد.

خبرگزاری دولتی محلی روسیه ریا نووستی تصاویر ویدئویی از برخی از حملات را منتشر کرد.

https://www.youtube.com/watch?v=Rj4f-8ayq-Q

بعید است که مظنونان در ایالات متحده با اتهاماتی روبرو شوند. برخی گزارش ها حاکی از آن است که دولت روسیه مکانیسم قانونی برای استرداد شهروندان خود ندارد.

به گفته سرویس امنیت فدرال، مقامات روسیه به نمایندگان آمریکا از نتایج این عملیات اطلاع دادند. آژانس این رویداد را همکاری نادر با مقامات آمریکایی توصیف کرد.

جان بامپنیک، رئیس شکارچی تهدید Netenrich، خاطرنشان می کند که اقدام روسیه در مورد هرگونه گزارشی در مورد جرایم سایبری، به ویژه باج افزار، نادر است. همکاری با FSB تنها زمانی اتفاق می افتد که صحبت از استثمار کودکان یا چچن باشد.

وی افزود: «تردید است که این تغییر قابل توجهی در موضع روسیه در مورد فعالیت های جنایتکارانه در داخل مرزهای آنها باشد… اگر این بار در سه ماه گذشته دستگیری بزرگ دیگری صورت نگرفته باشد، می توان حدس زد که تغییر واقعی ایجاد نشده است. در رویکرد روسیه.» TechNewsWorld.

او افزود: «با این حال، این یک دستگیری بزرگ است و در کوتاه مدت تأثیر قابل توجهی برای کاهش باج افزار خواهد داشت».

بخشی از الگو

به گفته آدام گاویش، یکی از بنیانگذاران و مدیر عامل DoControl، تکنیک های باج افزار سنتی برای موثر بودن نیازی به توسعه ندارند. این یک شستشوی ساده و تکرار فرآیند است.

“عنصر انسانی همچنان یک مسئله اصلی است. مردم اشتباه می کنند. آنها به راحتی می توانند تحت یک کمپین مهندسی اجتماعی قرار گیرند، که احتمال کلیک کردن یک کارمند بر روی ایمیل فیشینگ را افزایش می دهد. نقطه پایانی آنها در معرض خطر قرار می گیرد و کدهای مخرب تکثیر می شوند و از طریق آنها پخش می شود. وی در توضیح اینکه چرا حملات باج افزار تا این حد موفق هستند، به TechNewsWorld گفت.

او افزود که با افزایش پذیرش ابر، مهاجمان برنامه های SaaS را در دید خود قرار داده اند. مسلح کردن بسیاری از آسیب‌پذیری‌های موجود در برنامه‌های SaaS مرحله بعدی حملات باج‌افزار پیشرفته است. مهاجمان می‌دانند که جواهرات تاج یک شرکت – داده‌های آن – در برنامه‌های تجاری حیاتی میزبانی شده در فضای ابری ذخیره، پردازش و به اشتراک گذاشته می‌شوند.

گاویش افزود: “درست مانند ابر، امنیت SaaS یک مسئولیت مشترک بین ارائه دهنده خدمات و مصرف کننده آن است.”

او پیشنهاد کرد که شرکت‌های مدرن موظف به محافظت بهتر از فایل‌ها و داده‌ها در SaaS از طریق یک رویکرد دفاعی عمیق هستند. اگر نقطه پایانی به خطر بیفتد، باید راهی برای جلوگیری از دسترسی کارمندان یا همکاران خارجی به فایل‌های مخرب وجود داشته باشد.

آهنگ های زنگ بین المللی

گفتگوی خاص بین ایالات متحده و روسیه در رابطه با این روند همچنان نامشخص است. کریس مورگان، تحلیلگر ارشد اطلاعات تهدیدات سایبری در Digital Shadows، پیشنهاد کرد که تأیید FSB می تواند یک پیام جعلی باشد که نشان می دهد مقامات روسی می توانند برای متوقف کردن فعالیت باج افزارها استفاده شوند، اما فقط تحت شرایط خاص.

او به TechNewsWorld گفت: “عملیات اجرای قانون با چندین حمله افتراآمیز علیه وب سایت های دولت اوکراین همزمان شده است. این حملات هنوز به طور عمومی با اطمینان نسبت داده نشده اند، اما به طور گسترده گمان می رود که توسط عوامل تهدید کننده متحد روسیه انجام شده باشد.”

مورگان خاطرنشان کرد که دستگیری اعضای REvil احتمالاً انگیزه‌های سیاسی داشته و روسیه به دنبال استفاده از این رویداد به عنوان اهرم فشار است. او گفت که این می تواند مربوط به تحریم هایی باشد که اخیراً در ایالات متحده علیه روسیه اعمال شده است یا وضعیت در حال توسعه در مرز اوکراین.

انگیزه های نهان

مورگان افزود، همچنین مهم است که FSB Revell را هدف قرار می دهد، که از اکتبر 2021 در حملات عمومی فعال نبوده است. او گفت که چت‌ها در انجمن‌های جرایم سایبری روسیه، این احساس را شناسایی کرد و نشان داد که REvil «پیاده‌های یک بازی بزرگ سیاسی» بود.

مورگان افزود که یکی دیگر از شرکت کنندگان در این مجمع پیشنهاد کرد که روسیه عمدا دستگیری ها را انجام داده تا ایالات متحده آرام شود. FSB احتمالاً به REvil حمله کرد زیرا می دانست که این گروه در فهرست اولویت های ایالات متحده قرار دارد، زیرا حذف آن تأثیر کمی بر چشم انداز باج افزار فعلی خواهد داشت.

مورگان هنگام بحث در مورد صحبت های انجمن مجرمان سایبری، تکرار کرد که این دستگیری ها می توانسته یک هدف ثانویه نیز داشته باشد. به عنوان مثال، می تواند به عنوان یک هشدار برای سایر گروه های باج افزار عمل کند.

“REvil در سال گذشته با هدف قرار دادن سازمان‌هایی مانند JBS و Kaseya که حملاتی پرمخاطب و تاثیرگذار بودند، اخبار بین‌المللی را مطرح کرد. برخی از این حملات عمومی را می‌توان به عنوان پیامی تفسیر کرد که باید برای هدف قرار دادن آنها مورد توجه قرار گیرد. ” او گفت.