"באמת" התגעגענו: כנופיית הכופרה REvil שבה לתקוף

אחת מכנופיות הכופרה הידועות לשמצה, REvil – שבה לפעול; כך לפי ניתוח של צוות חוקרי האיומים של סקיור-וורקס. הסיבה לכך היא שחרורם המוקדם, שעל פי הערכות מומחים נבע מהחלטה של הקרמלין (רוסיה היא זו שעצרה אותם), כדי שיסייעו לו במלחמת הסייבר שהוא מנהל מול אוקראינה, במקביל למלחמה הפיזית נגדה.

חברי REvil, שמילאו את כיסיהם בדמי כופר בסייבר, נעצרו בינואר השנה. ה-FSB, שירות הביטחון הפדרלי הרוסי, שהוא ה-"יורש" של הקג"ב, הוא שביצע את המעצרים – לדבריו לבקשת ארצות הברית. ארגון הביון הודיע כי המעצרים בוצעו בכמה מקומות במדינת הענק, ביניהם במוסקבה ובסנט פטרסבורג.

ארצות הברית העבירה למוסקבה את שמות ההאקרים שנמצאים ברוסיה ושעמדו מאחורי מתקפות סייבר רבות ומשמעותיות על האמריקנים.

המעצרים עוררו חשד בקרב מומחים לנושאי רוסיה וסייבר, לגבי מניעי הקרמלין. זאת, לאור הדיווחים שהיו כבר אז, שלפיהם רוסיה שוקלת לפלוש לאוקראינה, והאיום של וושינגטון בסנקציות כתגובה לכך.

רווחים של יותר מ-200 מיליון דולר בפחות מחודשיים

REvil, אחת מקבוצות פשעי הסייבר האגרסיביות והמצליחות ביותר ברוסיה, הידועה גם בשם Sodinokibi, הייתה תחת לחץ מצד רשויות אכיפת החוק העולמיות, לרבות סייבר.קום – פיקוד הסייבר של ארצות הברית. זה האחרון סייע להשבית רבות מהפעילויות הדיגיטליות של הכנופייה בשנה שעברה.

במסגרת המתקפה, ההאקרים מ-REvil השביתו חלק ממערכות ה-IT של הקורבנות ודרשו דמי כופר לשחרור נעילת המחשבים בסך של 50 אלף דולר בכל אחד מהמקרים. המתקפה הפילה קורבנות בכמה מדינות, בהן ארצות הברית, בריטניה, גרמניה, דרום אפריקה, קנדה, גרמניה, קולומביה, ניו זילנד ושבדיה. היא בוצעה באמצעות חדירה לכלי לניהול מרחוק של רשתות קסייה. בין קורבנות המתקפה ההיא היו בתי ספר בניו זילנד, חברת טקסטיל בינלאומית, רשת חנויות מכולת שבדית ושתי עיירות במרילנד. על פי ה-FBI, בין אפריל 2019 ליוני 2021 הקבוצה הניבה לעצמה רווחים בסך של כ-200 מיליון דולר מתשלומי דמי כופר.

צוות החוקרים של סקיור-וורקס ניתח שתי דגימות של REvil שהוגשו ל-VirusTotal – האחת לקראת סוף מרץ והשנייה בסוף אפריל. לדבריהם, ניתוח דוגמיות אלה מדגים בבירור שלמפתחי הכופרה הייתה גישה לקוד המקור של REvil, מה שמרמז במידה רבה מאוד של סבירות שהמפעילים שלהן, שכונו על ידי החוקרים Gold Southfield, "בהחלט חזרו לפעול על מגרש המשחקים".

"סביר שלא כל חברי הכנופייה נעצרו"

רוב פנטזופולוס, חוקר אבטחת מידע בכיר בסקיור-וורקס, אמר כי "למי שמפעיל כעת את REvil יש גישה לקוד המקור של הכופרה, כמו גם לחלקים מהתשתית הישנה המשמשת לתמיכה בה". לדבריו, "ייתכן שחלק מחברי Gold Southfield, או כולם, שנעצרו על ידי השלטונות הרוסיים – שוחררו, וחזרו כעת לפעילות. סביר באותה המידה שלא כל החברים נעצרו מלכתחילה, והחלו מחדש במבצע התקיפה, עם או בלי חברים חדשים. אפשרות אחרת היא ש-'שלוחה' מהימנה שלהם השתלטה על מבצע התקיפה, באישור הקבוצה (המקורית – י"ה). למעשה, כך התחילה הקבוצה בעצמה לפעול; המפעילים של Gandcrab, ו-Gold Garden פרשו, ומכרו את פעילותם לקבוצה של שותפים – Gold Southfield".

האם הכנופייה קיבלה אישור שבשתיקה מרוסיה לחדש פעילות?

לקראת סוף אפריל 2022, מידע מודיעיני חדש העלה כי הן כנופיית REvil והן כנופיית קונטי מגבירות את פעילותן. זאת, על אף שחברי REvil נעצרו ופעילותה הושתקה על ידי גורמי אכיפת חוק, ואילו חבורת קונטי ניזוקה מהדלפת סודותיה על ידי שותף ממורמר.

כך, נכתב, "במקרה של REvil, מישהו שהתיימר לייצג את הקבוצה עלה לשטח ב-20 באפריל, ואז נמצא שהשרתים שלה שיושבים ברשת Tor מכוונים לפעולה חדשה לכאורה. זה מה שמרמז על הקשר לחברי הכנופייה המקוריים – או למפעיל חדש".

כמה מומחי אבטחה ציינו כי ברקע המלחמה באוקראינה, ייתכן שכנופיית REvil קיבלה אישור שבשתיקה מהשלטונות הרוסיים לחדש את פעילותה, אף שהקרמלין הוא שסייע בעבר למערב להפיל אותה. לדברי פנטזופולוס, "זו אפשרות סבירה ביותר. היחס של רוסיה כלפי פושעי סייבר ממניעים כלכליים הוא במקרה הטוב אמביוולנטי ובמקרה הרע – הממשל הוא שותף שלהם. זאת, כל עוד פשעי הסייבר הללו לא מתנגשים עם האינטרסים של רוסיה. הגיוני שיש קשר כלשהו בין רשויות אכיפת החוק ברוסיה לחלק מהקבוצות הללו, אבל היקפם של קשרים אלה עדיין לא ברור".

הוא אמר כי "מוקדם לקבוע מה יהיה היקף הפעילות של הקבוצה, בין אם היא המקורית או מחודשת. יש יותר מדי דוגמיות של כופרות בגרסאות שונות, ואנחנו מבחינים בניסיונות גיוס של האקרים חדשים לקבוצה".