Evropol: Uhapšena sedmorica saradnika zloglasnog REvil/GandCrab ransomware kartela

Sajber hronika, 09.11.2021, 10:30 AM

Evropol je saopštio da je uhapšeno sedam osoba osumnjičenih da su bili saradnici velikog ransomware kartela i da su od početka 2019. godine pomogli u izvršenju više od 7.000 napada.

Osumnjičeni su bili deo operacija REvil (Sodinokibi) i GandCrab Ransomware-as-a-Service (RaaS).

Veruje se da iza REvil i GandCrab ransomwarea stoje isti ljudi. Oni su kod ransomwarea rentirali drugim sajber kriminalcima.

Grupe koje su iznajmljivale ransomware odgovorne su za upade u kompanije, infekcije ransomwareom i ucenjivanje žrtava. Kada bi naplatile otkupninu profit su delile sa programerima REvil i GandCrab ransomwarea.

Evropol kaže da su od 2019. godine sedmorica osumnjičenih izvršila napade u kojima su od žrtava zajedno tražili više od 200 miliona evra (230 miliona dolara).

Evropol je rekao da od februara ove godine zajedno sa nadležnim agencijama i kompanijama za sajber bezbednost kao što su Bitdefender, KPN i McAfee, radi na hapšenju odgovornih za ove napade.

U februaru, aprilu i oktobru u Južnoj Koreji uhapšena su tri saradnika REvila i GandCraba. U oktobru je u Poljskoj uhapšen jedan od saradnika kartela optužen za napad na kompaniju Kaseya ransomwareom REvil, a 4. novembra uhapšena su dva saradnika u Rumuniji (REvil), i još jedan u Kuvajtu (GandCrab).

Odluka da se krene na operatere ransomwarea usledila je nakon što su napadi ransomwarea dostigli vrhunac ove godine, pošto su grupe izvele napade koji su imali ozbiljne posledice, kao što je napad na Colonial Pipeline, koji je na više dana zaustavio isporuku goriva na istočnoj obali SAD.

Bitdefender, koji je učestvovao u demontiranju GandCrab/REvil bande pod vođstvom Evropola, 16. septembra je objavio univerzalni dešifrator za žrtve REvila. Rumunska kompanija je takođe objavila besplatne alata za dešifrovanje za GandCrab, koji se mogu preuzeti sa portala NoMoreRansom projekta.

Osmoro saradnika GangCraba privedeno je u Belorusiji u avgustu 2020, ali ova hapšenja nisu bila deo zajedničke istrage Evropola.

Grupa GandCrab prvi put je oglasila svoj ransomware u januaru 2018. godine. Grupa je u početku rentirala ransomware drugim grupama sajber kriminalaca koje su koristile spam e-poštu sa zlonamernim prilozima da zaraze korisnike.

Grupa je promenila svoje ciljeve početkom 2019. godine, kada je počela da radi sa malom grupom “filijala” na napadima na velike kompanije, nadajući se da će izvući više novca od kompanija nego od kućnih korisnika.

Kako je ovaj novi metod napada počeo da donosi veći profit, grupa je prekinula GandCrab operaciju u maju 2019. i objavila rebrendiranu i poboljšanu verziju svog ransomwarea mesec dana kasnije, u junu 2020.

Poznat kao REvil ili Sodinokibi, ovaj novi RaaS je radio samo sa filijalama koje su bile spremne da napadnu veće kompanije. Tokom godina, REvil RaaS i njegove filijale su bili povezani sa nekim velikim napadima na kompanije kao što su Apple, Acer, Telecom Argentina i mnoge druge.

Prema izveštaju IBM-a objavljenom u februaru 2021., REvil je zaradio oko 123 miliona dolara samo u 2020. godini.

Međutim, napadima na servere JBS Foods i Kaseya, u maju i julu ove godine, grupa je prešla granicu posle čega je američka vlada bila rešena da preduzme odlučne mere. Napad na JBS Foods izazvao je velike poremećaje u snabdevanju mesom širom SAD, dok je napad na Kaseya servere doveo do problema u radu više od 1.500 kompanija širom sveta.

Grupa je nestala nedelju dana kasnije, bez ikakvog objašnjenja, a vođa grupe, koji je bio poznat pod imenom Unknown, naizgled je nestao sa hakerskih foruma.

Neki od programera REvila pokušali su da reanimiraju operaciju u septembru, ali su prekinuli nakon mesec dana, pošto je misteriozno preuzeta njihova infrastruktura.

Izveštaji Rojtersa i Vašington Posta su kasnije otkrili da su do jula serveri grupe već bili hakovani i backdoorovani, kao i da je to uradila policija koja je grupu držala na oku.

Kada se grupa vratila u septembru, američka Sajber komanda je hakovala njene servere. Ovaj potez je uplašio REvil bandu i naterao je na konačno povlačenje.