เรวิล

การก่อตัว	2019
พิมพ์	การแฮ็ก
สังกัด	โซดิโนคิบิ, แกนด์แครบ

REvil ( Ransomware Evil ; หรือที่รู้จักกันในชื่อSodinokibi ) เป็น ปฏิบัติการ แรนซัมแวร์แบบบริการ (RaaS) ส่วนตัว ที่ตั้งอยู่ในรัสเซีย ^{[ 1 ]}หรือใช้ภาษารัสเซีย^{[ 2 ] [ 3 ]}หลังจากการโจมตี REvil จะขู่ว่าจะเผยแพร่ข้อมูลบนเพจHappy Blog ของพวกเขา เว้นแต่ จะได้รับ ค่าไถ่ในกรณีที่โด่งดัง REvil ได้โจมตีซัพพลายเออร์ของบริษัทเทคโนโลยียักษ์ใหญ่อย่างAppleและขโมยแบบแผนที่เป็นความลับของผลิตภัณฑ์ที่จะออกวางจำหน่าย ในเดือนมกราคม 2022 หน่วยงานความมั่นคงแห่งชาติ ของรัสเซีย กล่าวว่าพวกเขาได้ยุบ REvil และตั้งข้อหากับสมาชิกหลายคน

REvil รับสมัครพันธมิตรเพื่อแจกจ่ายแรนซอมแวร์ให้กับพวกเขา โดยเป็นส่วนหนึ่งของข้อตกลงนี้ พันธมิตรและผู้พัฒนาแรนซอมแวร์จะแบ่งรายได้ที่เกิดจากการชำระเงินค่าไถ่^{[ 4 ]}เป็นเรื่องยากที่จะระบุตำแหน่งที่แน่นอนของพวกเขา แต่คาดว่าพวกเขาอยู่ในรัสเซียเนื่องจากกลุ่มนี้ไม่ได้กำหนดเป้าหมายองค์กรของรัสเซียหรือประเทศ ในอดีต กลุ่มโซเวียต^{[ 5 ]}

รหัสแรนซัมแวร์ที่ REvil ใช้มีลักษณะคล้ายกับรหัสที่DarkSideซึ่งเป็นกลุ่มแฮ็กเกอร์อีกกลุ่มหนึ่งใช้ รหัสของ REvil ไม่เปิดเผยต่อสาธารณะ ซึ่งบ่งชี้ว่า DarkSide เป็นกลุ่มย่อยของ REvil ^{[ 6 ]}หรือเป็นพันธมิตรของ REvil ^{[ 7 ]} REvil และ DarkSide ใช้ข้อความเรียกค่าไถ่ที่มีโครงสร้างคล้ายกันและใช้รหัสเดียวกันเพื่อตรวจสอบว่าเหยื่อไม่ได้อยู่ใน ประเทศ กลุ่มเครือรัฐเอกราช (CIS) ^{[ 8 ]}

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เชื่อว่า REvil เป็นกลุ่มแฮกเกอร์ที่แตกแขนงมาจากกลุ่มแฮกเกอร์ชื่อดังในอดีตที่ปัจจุบันเลิกใช้งานไปแล้วอย่าง GandCrab ^{[ 9 ]}เป็นที่สงสัยกันเนื่องจาก REvil เริ่มเคลื่อนไหวทันทีหลังจาก GandCrab ปิดตัวลง และแรนซัมแวร์ทั้งสองกลุ่มมีโค้ดร่วมกันเป็นจำนวนมาก

ในฐานะส่วนหนึ่งของการปฏิบัติการของกลุ่มอาชญากรไซเบอร์ พวกเขาเป็นที่รู้จักจากการขโมยข้อมูลเกือบหนึ่งเทราไบต์จากสำนักงานกฎหมาย Grubman Shire Meiselas & Sacks และเรียกค่าไถ่เพื่อไม่ให้เผยแพร่ข้อมูลดังกล่าว^{[ 10 ] [ 11 ] [ 12 ]}กลุ่มนี้ยังพยายามข่มขู่บริษัทอื่นๆ และบุคคลสาธารณะอีกด้วย

ในเดือนพฤษภาคม 2020 พวกเขาเรียกร้องเงิน 42 ล้านดอลลาร์จากประธานาธิบดีโดนัลด์ ทรัมป์แห่ง สหรัฐอเมริกา ^{[ 13 ] [ 14 ]}กลุ่มดังกล่าวอ้างว่าได้ทำเช่นนี้โดยการถอดรหัสการเข้ารหัสแบบวงรีที่บริษัทใช้เพื่อปกป้องข้อมูล^{[ 15 ]}จากการสัมภาษณ์สมาชิกที่ถูกกล่าวหา พวกเขาพบผู้ซื้อข้อมูลของทรัมป์ แต่ไม่สามารถยืนยันได้^{[ 16 ]}ในการสัมภาษณ์เดียวกัน สมาชิกคนดังกล่าวอ้างว่าพวกเขาจะได้รับเงินค่าไถ่ 100 ล้าน ดอลลาร์ ในปี 2020

เมื่อวันที่ 16 พฤษภาคม 2020 กลุ่มดังกล่าวได้เผยแพร่เอกสารทางกฎหมายรวมขนาด 2.4 GB ที่เกี่ยวข้องกับนักร้องLady Gaga [ ^{17 ] ใน}วันถัดมา พวกเขาได้เผยแพร่อีเมล "ที่ไม่เป็นอันตราย" จำนวน 169 ฉบับ ซึ่งกล่าวถึง Donald Trump หรือมีคำว่า 'trump' อยู่ในนั้น^{[ 11 ]}

พวกเขาวางแผนที่จะขายข้อมูลของมาดอนน่า^{[ 18 ]}แต่ในที่สุดก็เปลี่ยนใจ^{[ 19 ]}

เมื่อวันที่ 27 มีนาคม 2021 REvil ได้โจมตีHarris Federationและเผยแพร่เอกสารทางการเงินหลายฉบับของสหพันธ์ไปยังบล็อกของตน ส่งผลให้ระบบไอทีของสหพันธ์ถูกปิดตัวลงเป็นเวลาหลายสัปดาห์ ส่งผลกระทบต่อนักเรียนมากถึง 37,000 คน^{[ 20 ]}

เมื่อวันที่ 18 มีนาคม 2021 บริษัทในเครือ REvil อ้างในเว็บไซต์การรั่วไหลของข้อมูลว่าได้ดาวน์โหลดข้อมูลจากบริษัท ฮาร์ดแวร์และ อิเล็กทรอนิกส์ ข้ามชาติ Acerรวมทั้งติดตั้งแรนซัมแวร์ ซึ่งเชื่อมโยงกับการรั่วไหลของข้อมูล Microsoft Exchange Server ในปี 2021โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intel ซึ่งพบสัญญาณแรกของการโจมตีเซิร์ฟเวอร์ Acer ตั้งแต่วันที่ 5 มีนาคม 2021 มีการเรียกร้องค่าไถ่ 50 ล้านดอลลาร์สหรัฐ เพื่อถอดรหัสระบบจำนวนที่ไม่เปิดเผยและลบไฟล์ที่ดาวน์โหลด โดยจะเพิ่มเป็น 100 ล้านดอลลาร์สหรัฐ หากไม่ชำระภายในวันที่ 28 มีนาคม 2021 ^{[ 21 ]}

ในเดือนเมษายน พ.ศ. 2564 REvil ขโมยแผนผลิตภัณฑ์ Apple ที่กำลังจะวางจำหน่ายจากQuanta Computerซึ่งรวมถึงแผนสำหรับแล็ปท็อป Apple และ Apple Watch ที่กล่าวอ้าง REvil ขู่ว่าจะเปิดเผยแผนดังกล่าวต่อสาธารณะหากไม่ได้รับเงิน 50 ล้านดอลลาร์สหรัฐ^{[ 22 ] [ 23 ]}

เมื่อวันที่ 30 พฤษภาคม 2021 JBS SAถูกโจมตีด้วยแรนซัมแวร์ ซึ่งทำให้ต้องปิดโรงงานผลิตเนื้อวัวทั้งหมดของบริษัทในสหรัฐฯ ชั่วคราว และส่งผลกระทบต่อการดำเนินงานของโรงงานผลิตสัตว์ปีกและสุกร ไม่กี่วันต่อมาทำเนียบขาวประกาศว่า REvil อาจเป็นผู้รับผิดชอบต่อการโจมตีทางไซเบอร์ของ JBS SA FBI ยืนยันความเชื่อมโยงดัง กล่าวในแถลงการณ์ติดตามผลบนTwitter [ ^{24 ] JBS}จ่ายค่าไถ่ 11 ล้านดอลลาร์สหรัฐในรูปของ Bitcoinให้กับ REvil

เมื่อวันที่ 11 มิถุนายน 2021 Invenergyรายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ต่อมา REvil อ้างว่าเป็นผู้รับผิดชอบ^{[ 25 ]}

เมื่อวันที่ 2 กรกฎาคม 2564 ผู้ให้บริการจัดการ หลายร้อยราย ถูกแรนซัมแวร์ REvil โจมตีระบบผ่านซอฟต์แวร์การจัดการเดสก์ท็อป Kaseya ^{[ 26 ]} REvil เรียกร้องเงิน 70 ล้านดอลลาร์เพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส^{[ 27 ]}ส่งผลให้เครือร้านขายของชำ Swedish Coopต้องปิดร้าน 800 สาขาในช่วงหลายวัน^{[ 28 ] [ 29 ]}

เมื่อวันที่ 7 กรกฎาคม 2021 REvil ได้แฮ็กคอมพิวเตอร์ของHX5 ซึ่งเป็นผู้รับเหมาเทคโนโลยีด้านอวกาศและการปล่อยอาวุธในฟลอริดา โดยมี กองทัพบกกองทัพเรือกองทัพอากาศและNASAเป็นลูกค้า และได้เผยแพร่เอกสารที่ถูกขโมยไปบน Happy Blog หนังสือพิมพ์นิวยอร์กไทมส์ตัดสินว่าเอกสารเหล่านั้นไม่มี "ผลกระทบที่สำคัญ" ^{[ 30 ]}

หลังจากการสนทนาทางโทรศัพท์ระหว่างประธานาธิบดี โจ ไบเดนแห่งสหรัฐอเมริกาและประธานาธิบดีวลาดิมีร์ ปูติน แห่งรัสเซีย เมื่อวันที่ 9 กรกฎาคม ไบเดนกล่าวกับสื่อว่า "ผมได้ชี้แจงให้เขาทราบอย่างชัดเจนว่า สหรัฐอเมริกาคาดหวังว่าเมื่อมีการปฏิบัติการเรียกค่าไถ่เกิดขึ้นจากดินแดนของเขา แม้ว่าจะไม่ได้ได้รับการสนับสนุนจากรัฐก็ตาม เราคาดหวังว่าพวกเขาจะดำเนินการหากเราให้ข้อมูลเพียงพอแก่พวกเขาในการระบุตัวผู้กระทำการ" ไบเดนกล่าวเพิ่มเติมในภายหลังว่า สหรัฐอเมริกาจะปิดเซิร์ฟเวอร์ของกลุ่มดังกล่าวหากปูตินไม่ดำเนินการ^{[ 31 ] [ 32 ]}

เมื่อวันที่ 13 กรกฎาคม 2021 เว็บไซต์ REvil และโครงสร้างพื้นฐานอื่นๆ หายไปจากอินเทอร์เน็ต^{[ 33 ]} Politicoอ้างคำพูดของเจ้าหน้าที่บริหารระดับสูงที่ไม่เปิดเผยชื่อว่า "เราไม่รู้แน่ชัดว่าทำไมพวกเขา [REvil] ถึงยุติการดำเนินงาน" เจ้าหน้าที่คนดังกล่าวไม่ได้ตัดความเป็นไปได้ที่รัสเซียจะปิดกลุ่มนี้หรือบังคับให้ปิดตัวลง^{[ 34 ]}

เมื่อวันที่ 23 กรกฎาคม 2021 Kaseya ประกาศว่าได้รับรหัสถอดรหัสสำหรับไฟล์ที่ถูกเข้ารหัสในการโจมตีแรนซัมแวร์ Kaseya VSA เมื่อวันที่ 2 กรกฎาคม จาก "บุคคลที่สามที่เชื่อถือได้" ที่ไม่ระบุชื่อ ซึ่งต่อมาพบว่าเป็น FBI ที่เก็บรหัสไว้เป็นเวลาสามสัปดาห์ และกำลังช่วยเหลือเหยื่อในการกู้คืนไฟล์^{[ 35 ]}รหัสถูกเก็บไว้เพื่อหลีกเลี่ยงการแจ้งให้ REvil ทราบถึงความพยายามของ FBI ในการปิดเซิร์ฟเวอร์ของพวกเขา ซึ่งในที่สุดก็พิสูจน์แล้วว่าไม่จำเป็นหลังจากที่แฮกเกอร์ออฟไลน์โดยไม่มีการแทรกแซง^{[ 36 ]}

ในเดือนกันยายน พ.ศ. 2564 บริษัทรักษาความปลอดภัยทางไซเบอร์Bitdefender ของโรมาเนีย ได้เผยแพร่ยูทิลิตี้ถอดรหัสแบบสากลฟรีเพื่อช่วยเหยื่อของแรนซัมแวร์ REvil/Sodinokibi กู้คืนไฟล์ที่ถูกเข้ารหัส หากไฟล์เหล่านั้นถูกเข้ารหัสก่อนวันที่ 13 กรกฎาคม พ.ศ. 2564 ^{[ 37 ]}ตั้งแต่เดือนกันยายนจนถึงต้นเดือนพฤศจิกายน บริษัทมากกว่า 1,400 แห่งได้ใช้ยูทิลิตี้ถอดรหัสนี้เพื่อหลีกเลี่ยงการจ่ายค่าไถ่กว่า 550 ล้านดอลลาร์สหรัฐ และช่วยให้พวกเขากู้คืนไฟล์ได้^{[ 38 ]}

เมื่อวันที่ 22 กันยายน 2021 นักวิจัยมัลแวร์ได้ระบุแบ็กดอร์ที่สร้างขึ้นในมัลแวร์ REvil ซึ่งทำให้สมาชิกแก๊งดั้งเดิมสามารถทำการแชทซ้ำซ้อนและโกงเงินค่าไถ่จากพันธมิตรได้^{[ 39 ]}พันธมิตรแรนซัมแวร์ที่ถูกโกงรายงานว่าได้โพสต์ข้อเรียกร้องของตนบน "ศาลแฮกเกอร์" ซึ่งบั่นทอนความเชื่อมั่นใน REvil ของพันธมิตร เวอร์ชันใหม่กว่าของมัลแวร์ REvil รายงานว่าได้ลบแบ็กดอร์ออกแล้ว^{[ 40 ]}

เมื่อวันที่ 21 ตุลาคม 2021 เซิร์ฟเวอร์ของ REvil ถูกแฮ็กในปฏิบัติการข้ามประเทศและถูกบังคับให้ออฟไลน์ หัวหน้าฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ของ VMWareกล่าวว่า "FBI ร่วมกับหน่วยบัญชาการไซเบอร์หน่วยสืบราชการลับและประเทศที่มีแนวคิดเดียวกัน ได้ดำเนินการขัดขวางกลุ่มเหล่านี้อย่างมีนัยสำคัญ" สมาชิกแก๊ง REvil พยายามกู้คืนเซิร์ฟเวอร์จากข้อมูลสำรองที่ถูกบุกรุกเช่นกัน^{[ 41 ]}

ในส่วนหนึ่งของปฏิบัติการ GoldDust ซึ่งเกี่ยวข้องกับ 17 ประเทศEuropol , EurojustและINTERPOLหน่วยงานบังคับใช้กฎหมายได้จับกุมบุคคล 5 คนที่เกี่ยวข้องกับ Sodinokibi/REvil และผู้ต้องสงสัย 2 คนที่เกี่ยวข้องกับแรนซอมแวร์ GandCrab พวกเขาถูกกล่าวหาว่ารับผิดชอบต่อการติดเชื้อ 5,000 ครั้ง และเรียกเก็บเงินค่าไถ่แรนซอมแวร์ไปครึ่งล้านยูโร^{[ 42 ]}

เมื่อวันที่ 8 พฤศจิกายน 2021 กระทรวงยุติธรรมของสหรัฐอเมริกาได้เปิดเผยคำฟ้องต่อนายยาโรสลาฟ วาซินสกี พลเมืองยูเครน และนายเยฟเกนี โพลยานิน พลเมืองรัสเซีย วาซินสกีถูกตั้งข้อหาว่าก่อเหตุโจมตีด้วยแรนซอมแวร์ต่อเหยื่อหลายราย รวมถึง Kaseya และโพลยานินถูกตั้งข้อหาว่าก่อเหตุโจมตีด้วยแรนซอมแวร์ต่อเหยื่อหลายราย รวมถึงธุรกิจและหน่วยงานรัฐบาลในรัฐเท็กซัส กระทรวงฯ ได้ทำงานร่วมกับตำรวจแห่งชาติของยูเครนในการตั้งข้อหา และยังประกาศการยึดเงิน 6.1 ล้านดอลลาร์สหรัฐที่เกี่ยวข้องกับการจ่ายเงินค่าไถ่แรนซอมแวร์^{[ 43 ]}วาซินสกี หรือที่รู้จักกันในชื่อ ราบอตนิก ถูกจับกุมขณะข้ามพรมแดนจากยูเครนไปยังโปแลนด์เมื่อวันที่ 8 ตุลาคม 2021 และถูกส่งตัวไปยังสหรัฐอเมริกาในปี 2022 เขาให้การรับสารภาพในข้อหาอาชญากรรมทางไซเบอร์และการฟอกเงิน และเมื่อวันที่ 1 พฤษภาคม 2024 ถูกตัดสินจำคุก 13 ปี 7 เดือน และถูกสั่งให้จ่ายเงินชดเชย 16 ล้านดอลลาร์สหรัฐ^{[ 44 ] [ 45 ]}ณ ปี 2025 โพลยานินยังคงลอยนวล และเอฟบีไอเชื่อว่าเขาอาศัยอยู่ในรัสเซีย อาจจะอยู่ในเมืองบาร์นอล^{[ 46 ] [ 47 ]}

ในเดือนมกราคม พ.ศ. 2565 หน่วยงานความมั่นคงแห่งชาติ ของรัสเซีย กล่าวว่าพวกเขาได้ยุบ REvil และตั้งข้อหาสมาชิกหลายคนหลังจากได้รับข้อมูลจากสหรัฐอเมริกา^{[ 48 ]}

มีกลุ่มแฮกเกอร์ชื่อ Fluffy ซึ่งมีสำนักงานใหญ่อยู่ที่ Corrèze เป็นที่ทราบกันว่ามีความเกี่ยวข้องกับ REvil โดยส่วนใหญ่ใช้กลวิธี typosquatting , cybersquattingและkeyword stuffingกลุ่มแฮกเกอร์นี้ได้เผยแพร่แรนซัมแวร์ Magniber, Sodinokibi และ GandCrab, BlueCrab (ซึ่งเป็นเวอร์ชันถัดไปของ GandCrab ที่เป็นสายพันธุ์เดียวกับที่ใช้ในการโจมตีแรนซัมแวร์ Kaseya VSA ^{[ 49 ]} ) ในฝรั่งเศสรู้จักกันในชื่อ Fluffy ^{[ 50 ]}ในเยอรมนีในชื่อ Talentfrei ^{[ 51 ]} ในออสเตรเลียและประเทศที่ใช้ภาษาอังกฤษในชื่อ "Emma Hill" ^{[ 52 ]}และในเกาหลีใต้ในชื่อ Nebomi (หมายถึง "ดอกไม้สี่ฤดู" ในภาษาเกาหลี) Fluffy เป็นที่ทราบกันว่าได้คร่าชีวิตเหยื่อจำนวนมาก โดยเฉพาะในเกาหลีใต้^{[ 53 ] [ 54 ]}

แคมเปญที่ Fluffy กำหนดเป้าหมายไปยังเกาหลีใต้เป็นครั้งแรกนั้นรู้จักกันในชื่อ Magniber ^{[ 55 ]}และใช้ชุดเครื่องมือโจมตี (exploit kit) ก่อนที่จะมีการพัฒนา payloadที่ดัดแปลงต่างๆเทคนิคที่ใช้โดย payload ที่ดัดแปลงเหล่านี้มีความแตกต่างกัน แต่มีจุดร่วมกันคือการใช้เทคโนโลยีมาตรฐานที่รองรับโดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ เช่นURI scheme และBASE64ซึ่งแตกต่างจากชุดเครื่องมือโจมตีที่ใช้ประโยชน์จาก ช่องโหว่ zero-dayผู้ใช้จะได้รับคำเตือนด้านความปลอดภัยจากระบบปฏิบัติการก่อนที่จะเรียกใช้ไฟล์ อย่างไรก็ตาม ข้อมูลที่ผู้โจมตีให้มามักจะเพียงพอให้ผู้ใช้ตัดสินใจที่จะเพิกเฉยต่อการแจ้งเตือนด้านความปลอดภัย

หลังจากการเปิดตัวเพย์โหลดที่เปลี่ยนแปลงเหล่านี้ในเกาหลีใต้ Fluffy ได้เรียกตัวเองว่า Nebomi ทันทีและดำเนินการโจมตีด้วยแรนซอมแวร์ต่อไป สำนักงานอัยการเขตกลางกรุงโซลประกาศในเดือนพฤศจิกายน 2023 ว่าผู้ร่วมกระทำความผิดที่ให้ความช่วยเหลือพวกเขาในเกาหลีใต้ถูกดำเนินคดี ตามประกาศดังกล่าว ในระหว่างการสืบสวนผู้ต้องสงสัยยังพบ หลักฐานการโอนเงินไปยัง กลุ่ม Lazarus อีกด้วย ^{[ 56 ]}ยังไม่ชัดเจนว่าเกี่ยวข้องกับการสืบสวนแรนซอมแวร์ที่กำลังดำเนินอยู่หรือไม่ แต่ตามรายงานของสื่อในเดือนธันวาคม 2023 ศาลฎีกาของเกาหลีอ้างว่าประสบกับการโจมตีทางไซเบอร์โดยกลุ่ม Lazarus ส่งผลให้ข้อมูลสำคัญรั่วไหล^{[ 57 ]}

คาดว่า Fluffy จะช่วยในการเผยแพร่แรนซัมแวร์หลายประเภท ตั้งแต่ Magniber และ REvil ไปจนถึงLockBitโดยใช้ประโยชน์จากกรณีการโจมตีแบบ watering hole ที่ประสบความสำเร็จ ที่พวกเขาได้ดำเนินการ ตัวอย่างเช่น เชื่อกันว่าพวกเขาอาจมีส่วนเกี่ยวข้องกับเหตุการณ์ต่างๆ เช่น การโจมตีทางไซเบอร์ที่ประสบความสำเร็จต่อสาขาของToshiba ในฝรั่งเศสในเดือนพฤษภาคม 2021 การโจมตีทางไซเบอร์ที่อ้างว่าเกิดขึ้นกับ กลุ่ม Doosanในเดือนสิงหาคม 2022 และการโจมตีทางไซเบอร์ที่อ้างว่าเกิดขึ้นกับกรมสรรพากรแห่งชาติ (เกาหลีใต้)ในเดือนมีนาคม 2023 ^{[ 58 ]}

บางครั้ง พวกเขาใช้วิธีที่ค่อนข้างง่าย เช่น อีเมล ในการเผยแพร่แรนซัมแวร์ REvil (หรือที่รู้จักกันในชื่อ GandCrab) เนื้อหาของอีเมลเหล่านี้มักเกี่ยวข้องกับการแอบอ้างเป็นเจ้าหน้าที่บังคับใช้กฎหมาย ผู้ส่งอีเมลเหล่านี้เป็นบุคคลสองคนที่มีอายุต่ำกว่า 19 ปี ซึ่งอ้างว่าได้ก่ออาชญากรรมดังกล่าวเพื่อตอบรับข้อเสนอที่ว่า "ถ้าคุณร่วมส่งแรนซัมแวร์ เราจะแบ่งผลกำไรกัน" ในการพิจารณาคดีที่ศาลแขวงกลางกรุงโซลในเดือนสิงหาคม 2021 พวกเขาถูกตัดสินจำคุก 2 ปี และ 1 ปี 6 เดือน โดยหนึ่งในนั้นเคยได้รับโทษจำคุก 10 ปีมาแล้วจากการเข้าร่วมในแคมเปญอื่น