REvil, operasi Ransomware-as-a-Service (RaaS) tangguh yang pertama kali terungkap pada akhir April 2019, telah kembali. Setelah enam bulan tidak aktif—setelah penggerebekan oleh otoritas Rusia—kelompok ransomware tampaknya telah kembali beroperasi.
Analisis sampel ransomware baru mengungkapkan bahwa pengembang memiliki akses ke kode sumber REvil, yang berarti bahwa kelompok ancaman telah muncul kembali. Kecurigaan ini semakin diperkuat ketika situs kru ransomware diluncurkan kembali di web gelap.
Kami telah melihat banyak grup ransomware sebelumnya, tetapi apa yang membuat REvil istimewa? Apa arti kembalinya grup ini bagi dunia maya? Mari kita cari tahu!
Apa yang Membuat Ransomware REvil Unik?
REvil membangun reputasi untuk mengejar target profil tinggi dan sangat menguntungkan dan menuntut pembayaran selangit dari para korbannya. Ini juga salah satu kelompok pertama yang mengadopsi taktik pemerasan ganda di mana mereka mengekstrak data korban dan mengenkripsinya.
Itu ransomware pemerasan ganda
skema memungkinkan REvil untuk menuntut dua tebusan untuk keuntungan finansial yang tinggi. Dalam sebuah wawancara dengan OSINT Rusia, pengembang grup mengklaim bahwa mereka menghasilkan lebih dari $100 juta dalam satu tahun dengan menargetkan perusahaan besar. Namun, hanya sebagian kecil yang diberikan kepada pengembang, sementara afiliasi mendapat bagian terbesar.Serangan Ransomware REvil Besar
Kelompok ransomware REvil telah berada di belakang beberapa serangan ransomware terbesar tahun 2020-21. Grup ini pertama kali menjadi pusat perhatian pada tahun 2020 ketika menyerang Travelex, yang pada akhirnya menyebabkan kehancuran perusahaan. Tahun berikutnya, REvil mulai menjadi berita utama dengan melancarkan serangan siber yang sangat menguntungkan yang mengganggu infrastruktur publik dan rantai pasokan.
Kelompok tersebut menyerang perusahaan seperti Acer, Quanta Computer, JBS Foods, dan penyedia manajemen dan perangkat lunak TI Kaseya. Grup itu kemungkinan memiliki beberapa tautan ke serangan Colonial Pipeline yang terkenal, yang mengganggu rantai pasokan bahan bakar di AS.
Setelah serangan ransomware Kaseya REvil, kelompok itu terdiam selama beberapa waktu untuk mengurangi perhatian yang tidak diinginkan yang dibawanya ke dirinya sendiri. Ada banyak spekulasi bahwa kelompok itu merencanakan serangkaian serangan baru di musim panas 2021, tetapi penegak hukum memiliki rencana lain untuk operator REvil.
Hari Pembalasan untuk Geng Cyber REvil
Ketika geng ransomware terkenal muncul kembali untuk serangan baru, mereka menemukan infrastruktur mereka dikompromikan dan berbalik melawan mereka. Pada Januari 2022, layanan keamanan negara Rusia FSB mengumumkan telah mengganggu aktivitas kelompok tersebut atas permintaan Amerika Serikat.
Beberapa anggota geng ditangkap, dan aset mereka disita, termasuk jutaan dolar AS, euro, dan rubel, serta 20 mobil mewah dan dompet cryptocurrency. Penangkapan ransomware REvil juga dilakukan di Eropa timur, termasuk Polandia, di mana pihak berwenang menahan tersangka dalam serangan Kaseya.
Kejatuhan REvil setelah penangkapan anggota kelompok kunci secara alami disambut baik di komunitas keamanan, dan banyak yang berasumsi bahwa ancaman itu telah berlalu sepenuhnya. Namun, rasa lega itu berumur pendek karena geng tersebut sekarang telah memulai kembali operasinya.
Kebangkitan REvil Ransomware
Peneliti dari Secureworks menganalisis sampel malware dari bulan Maret dan mengisyaratkan bahwa geng itu mungkin akan kembali beraksi. Para peneliti menemukan bahwa pengembang kemungkinan memiliki akses ke kode sumber asli yang digunakan oleh REvil.
Domain yang digunakan oleh situs web kebocoran REvil juga mulai beroperasi kembali, tetapi sekarang mengarahkan pengunjung ke URL baru di mana lebih dari 250 organisasi korban REvil terdaftar. Daftar tersebut berisi campuran korban lama REvil dan beberapa target baru.
Oil India—sebuah perusahaan bisnis perminyakan India—adalah korban baru yang paling menonjol. Perusahaan mengkonfirmasi pelanggaran data dan dilayani dengan permintaan tebusan $7,5 juta. Sementara serangan itu menimbulkan spekulasi bahwa REvil akan melanjutkan operasinya, masih ada pertanyaan apakah ini operasi peniru.
Satu-satunya cara untuk mengkonfirmasi kembalinya REvil adalah dengan menemukan contoh enkripsi operasi ransomware dan melihat apakah itu dikompilasi dari kode sumber aslinya.
Pada akhir April, peneliti Avast Jakub Kroustek menemukan enkripsi ransomware dan mengonfirmasi bahwa itu memang varian REvil. Sampel tidak mengenkripsi file tetapi menambahkan ekstensi acak ke file. Analis keamanan mengatakan itu adalah bug yang diperkenalkan oleh pengembang ransomware.
Beberapa analis keamanan telah menyatakan bahwa sampel ransomware baru terkait dengan kode sumber asli, yang berarti bahwa seseorang dari geng—misalnya, pengembang inti—harus terlibat.
Komposisi Grup REvil
Kemunculan kembali REvil setelah dugaan penangkapan awal tahun ini telah menimbulkan pertanyaan tentang komposisi kelompok dan hubungannya dengan pemerintah Rusia. Geng menjadi gelap karena diplomasi AS yang sukses sebelum dimulainya konflik Rusia-Ukraina.
Bagi banyak orang, kebangkitan kelompok yang tiba-tiba menunjukkan bahwa Rusia mungkin ingin menggunakannya sebagai pengganda kekuatan dalam ketegangan geopolitik yang sedang berlangsung.
Karena belum ada individu yang diidentifikasi, tidak jelas siapa yang berada di balik operasi tersebut. Apakah ini individu yang sama yang menjalankan operasi sebelumnya, atau ada kelompok baru yang mengambil alih?
Komposisi kelompok pengendali masih menjadi misteri. Tetapi mengingat penangkapan awal tahun ini, kemungkinan kelompok tersebut mungkin memiliki beberapa operator yang sebelumnya bukan bagian dari REvil.
Untuk beberapa analis, tidak jarang kelompok ransomware turun dan muncul kembali dalam bentuk lain. Namun, seseorang tidak dapat sepenuhnya menghilangkan kemungkinan seseorang memanfaatkan reputasi merek untuk membuat pijakan.
Perlindungan Terhadap Serangan Ransomware REvil
Penangkapan gembong REvil adalah hari besar bagi keamanan siber, terutama ketika kelompok ransomware menargetkan segala sesuatu mulai dari institusi publik hingga rumah sakit dan sekolah. Tetapi seperti yang terlihat dengan gangguan apa pun terhadap aktivitas kriminal online, itu tidak berarti akhir dari pandemi ransomware.
Bahaya dalam kasus REvil adalah skema pemerasan ganda di mana kelompok tersebut akan mencoba menjual data Anda dan menodai citra merek dan hubungan pelanggan.
Secara umum, strategi yang baik untuk melawan serangan tersebut adalah mengamankan jaringan Anda dan melakukan tes simulasi. Serangan ransomware sering terjadi karena kerentanan yang belum ditambal, dan serangan simulasi dapat membantu Anda mengidentifikasinya.
Strategi mitigasi utama lainnya adalah memverifikasi semua orang sebelum mereka dapat mengakses jaringan Anda. Dengan demikian, strategi tanpa kepercayaan dapat bermanfaat karena bekerja berdasarkan prinsip dasar untuk tidak pernah mempercayai siapa pun dan memverifikasi setiap pengguna dan perangkat sebelum memberi mereka akses ke sumber daya jaringan.
