ИБ-специалисты датского провайдера KPN применили синкхоллинг (sinkholing) к серверам шифровальщика REvil (Sodinokibi) и получили представление о работе одной из крупнейших на сегодня вымогательских угроз.
Напомню, что REvil работает по схеме "шифровальщик как услуга" (RaaS), то есть малварь сдается в аренду различным преступным группам. Из-за того, что группировок много, а также из-за высокой настраиваемости REvil, крайне сложно следить за всеми операциями шифровальщика и многочисленными партнерскими кампаниями по его распространению.
Однако экспертам KPN удалось применить синкхоллинг и перехватить сообщения, которыми зараженные шифровальщиком компьютеры обмениваются с управляющими серверами REvil. Исследователи пишут, что собрали уникальную информацию об операциях REvil, в том числе о количестве активных заражений, количество зараженных компьютеров на одну атаку и даже узнали порядок сумм, которые хакеры требуют у своих жертв в качестве выкупа.
Аналитики наблюдали за REvil около пяти месяцев и обнаружили более 150 000 уникальных инфекций по всему миру. Эти 150 000 зараженных машин оказались связаны лишь с 148 образцами REvil. Судя по всему, каждый из этих образцов представляет собой успешное заражение сети какой-либо компании. Причем некоторые атаки имеют огромный масштаб, шифруя более 3000 уникальных систем. Исследователи отмечают, что лишь некоторые из этих атак обсуждались в СМИ, тогда как многие компании о компрометации умолчали.
Атаки REVil
По информации KPN, за последние месяцы операторы REvil запросили выкупов на общую сумму более 38 000 000 долларов США, и в среднем вымогают у компаний-жертв 260 000 долларов США. В некоторых случаях сумма выкупа составляла 48 000 долларов США, что меньше среднего уровня REvil, но все же намного больше обычных 1000-2000 долларов США, которые требуют у домашних пользователей другие вымогатели.
Если REvil удается заразить несколько рабочих станций в сети компании, средняя сумма выкупа повышается до 470 000 долларов, а во многих случаях требования злоумышленников и вовсе превышали отметку в 1 000 000 долларов США.
Неясно, много ли скомпрометированных компаний согласились заплатить выкуп операторам REvil, но исследование KPN проливает свет на тот факт, что суммы, о которых ранее писали другие ИБ-эксперты, похоже, далеки от реальности.
Напомню, что REvil работает по схеме "шифровальщик как услуга" (RaaS), то есть малварь сдается в аренду различным преступным группам. Из-за того, что группировок много, а также из-за высокой настраиваемости REvil, крайне сложно следить за всеми операциями шифровальщика и многочисленными партнерскими кампаниями по его распространению.
Однако экспертам KPN удалось применить синкхоллинг и перехватить сообщения, которыми зараженные шифровальщиком компьютеры обмениваются с управляющими серверами REvil. Исследователи пишут, что собрали уникальную информацию об операциях REvil, в том числе о количестве активных заражений, количество зараженных компьютеров на одну атаку и даже узнали порядок сумм, которые хакеры требуют у своих жертв в качестве выкупа.
Аналитики наблюдали за REvil около пяти месяцев и обнаружили более 150 000 уникальных инфекций по всему миру. Эти 150 000 зараженных машин оказались связаны лишь с 148 образцами REvil. Судя по всему, каждый из этих образцов представляет собой успешное заражение сети какой-либо компании. Причем некоторые атаки имеют огромный масштаб, шифруя более 3000 уникальных систем. Исследователи отмечают, что лишь некоторые из этих атак обсуждались в СМИ, тогда как многие компании о компрометации умолчали.
Атаки REVil
По информации KPN, за последние месяцы операторы REvil запросили выкупов на общую сумму более 38 000 000 долларов США, и в среднем вымогают у компаний-жертв 260 000 долларов США. В некоторых случаях сумма выкупа составляла 48 000 долларов США, что меньше среднего уровня REvil, но все же намного больше обычных 1000-2000 долларов США, которые требуют у домашних пользователей другие вымогатели.
Если REvil удается заразить несколько рабочих станций в сети компании, средняя сумма выкупа повышается до 470 000 долларов, а во многих случаях требования злоумышленников и вовсе превышали отметку в 1 000 000 долларов США.
Неясно, много ли скомпрометированных компаний согласились заплатить выкуп операторам REvil, но исследование KPN проливает свет на тот факт, что суммы, о которых ранее писали другие ИБ-эксперты, похоже, далеки от реальности.
