У результаті міжнародної операції німецька поліція оголосила про викриття двох ключових фігур, пов'язаних з діяльністю одного з найнебезпечніших угруповань-вимагачів – REvil. Одним із підозрюваних є 31-річний громадянин Росії Данило Щукін, який, імовірно, використовував псевдонім UNKN (UNKNOWN). Другим викритим є 43-річний Анатолій Кравчук, громадянин Росії, який народився в Україні. Слідчі вважають, що Кравчук працював розробником для групи REvil, що підкреслює складність та міжнародний характер кіберзлочинності.
REvil, також відомий як Sodinokibi, був одним із найактивніших і найруйнівніших операторів програм-вимагачів за моделлю «вимагання як послуга» (RaaS). Це угруповання відоме своєю тактикою подвійного вимагання: не тільки шифрування даних жертв, а й їхнє викрадення з погрозою публікації у разі несплати викупу. Група атакувала численні великі організації по всьому світу, вимагаючи мільйони доларів у криптовалюті.
- Роль розробника: У таких угрупованнях, як REvil, розробники відіграють критично важливу роль. Вони відповідають за створення, підтримку та вдосконалення коду програми-вимагача, інструментів дешифрування та, можливо, інфраструктури керування та контролю (C2).
- Псевдонім UNKN: Використання псевдоніма UNKN (UNKNOWN) може вказувати на оператора високого рівня або афіліата, який, можливо, брав участь у переговорах про викуп або загальному управлінні операціями.
Хоча підозрюваних викрито, загроза від програм-вимагачів, особливо від груп, що використовують подібні до REvil тактики, залишається надзвичайно високою. Українські організації постійно перебувають під прицілом різних штамів програм-вимагачів, що робить цю новину актуальною для розуміння структури та методів противника. Будь-яка організація, що обробляє чутливі дані або керує критичною інфраструктурою, є потенційною мішенню. Причетність осіб, які мають зв'язки з регіоном (уродженець України), підкреслює складний геополітичний ландшафт кіберзлочинності та потенціал для місцевого вербування або операційних баз.
Для мінімізації ризиків від програм-вимагачів Cyber Index UA рекомендує:
- Постійне резервне копіювання: Впроваджуйте та регулярно тестуйте надійну стратегію резервного копіювання, забезпечуючи ізоляцію резервних копій від основної мережі.
- Багатофакторна автентифікація (MFA): Застосовуйте MFA для всіх критично важливих систем та віддаленого доступу.
- Оновлення програмного забезпечення: Регулярно встановлюйте патчі та оновлення для всіх операційних систем та програм, щоб усунути відомі вразливості.
- Навчання персоналу: Проводьте регулярні тренінги з кібербезпеки для співробітників, щоб вони могли розпізнавати фішингові спроби та тактики соціальної інженерії.
- Сегментація мережі: Впроваджуйте сегментацію мережі для обмеження горизонтального переміщення програми-вимагача у разі компрометації.
- План реагування на інциденти: Розробіть і регулярно тестуйте план реагування на інциденти, спеціально призначений для атак програм-вимагачів.