Группа вымогателей REvil, взломавшая макеты Mac в результате взлома ФБР

Еще в апреле группа вымогателей REvil взломала ассемблер Mac Quanta, чтобы раскрыть дизайн MacBook Pro 2021 года перед запуском. Теперь REvil сам был взломан в ходе операции, проводимой ФБР в партнерстве с Секретной службой и правоохранительными органами во многих странах.

Правоохранительные органы получили контроль над рядом серверов REvil в рамках операции, направленной на предотвращение дальнейших атак и преследование лиц, участвовавших в работе группы программ-вымогателей …

Фон

Группа программ-вымогателей REvil заявила в апреле, что она взломала системы, принадлежащие поставщику Apple Quanta Computer, и получила внутренние инженерные схемы для ряда еще не выпущенных новых продуктов. Он подтвердил это утверждение, поделившись примерами, которые поначалу не показали ничего нового.

REvil сначала попытался шантажировать Quanta на 50 миллионов долларов в обмен на то, что файлы не стали общедоступными, а затем попытался сделать то же самое с Apple.

Когда это не удалось, REvil выпустила схемы, показывающие новые порты, обнаруженные в MacBook Pro 2021 года. Схема оказалась точной, когда машины были запущены с показанными вводами / выводами MagSafe, HDMI и SD-карты.

Группа вымогателей REvil взломана ФБР

Reuters сообщает, что ФБР и другие правоохранительные органы изменили ситуацию против группы.

По словам трех киберэкспертов из частного сектора, работающих с США, и одного бывшего чиновника, на этой неделе группа вымогателей REvil была взломана и отключена от сети в результате операции в нескольких странах. […] Сайт преступной группировки «Счастливый блог», который использовался для утечки данных о жертвах и вымогательства у компаний, больше не доступен. […]

Глава VMWare по стратегии кибербезопасности Том Келлерманн сказал, что сотрудники правоохранительных органов и разведки не позволили группе преследовать другие компании.

«ФБР вместе с Киберкомандованием, Секретной службой и странами-единомышленниками действительно предприняли серьезные подрывные действия против этих групп», — сказал Келлерманн, советник Секретной службы США по расследованию киберпреступлений. «REvil был первым в списке».

Сообщается, что настоящая атака была совершена группой кибербезопасности «иностранного партнера». Один из людей, стоящих за REvil, подтвердил, что это имело место.

Один из лидеров, известный как «0_neday», который помог перезапустить работу группы после предыдущего отключения, сказал, что серверы REvil были взломаны неназванной стороной.

«Сервер был взломан, и они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные и впервые был замечен охранной фирмой Recorded Future. «Всем удачи; Я ухожу.

По восхитительной иронии, правоохранительные органы использовали против него одну из тактик REvil. Распространенным ответом на атаки программ-вымогателей, которые шифруют данные, является восстановление из резервной копии. REvil часто вставляет код в резервные копии, чтобы помешать этому, и, как сообщается, операция под руководством ФБР сделала то же самое с собственными резервными копиями группы. Они отключили ряд веб-сайтов, используемых группой, и взломали резервные копии.

Когда член банды 0_neday и другие восстановили эти веб-сайты из резервной копии в прошлом месяце, он неосознанно перезапустил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.

«Банда вымогателей REvil восстановила инфраструктуру из резервных копий, предположив, что они не были взломаны», — сказал Олег Скулкин, заместитель начальника лаборатории криминалистической экспертизы российской компании по обеспечению безопасности Group-IB. «По иронии судьбы, излюбленная тактика банды — компрометация резервных копий — была обращена против них».