Xakep #305. Многошаговые SQL-инъекции
Издание Bleeping Computer сообщает, что сайты и вся инфраструктура вымогателя REvil (Sodinokibi) в целом ушла в оффлайн без объяснения причин. Речь идет о целой сети обычных и даркнет-сайтов, которые используются для переговоров о выкупе, слива похищенных у жертв данных и внутренней инфраструктуры вымогателя. Теперь все они по какой-то причине не работают.
Журналисты и ИБ-эксперты пишут, что временное «падение» одного-двух ресурсов – это нормально, но полное отключение всей инфраструктуры выглядит крайне странно. К примеру, сайт decoder[.]re более вообще не резолвится помощью DNS-запросов, а это указывает на отключение всей DNS-инфраструктуры на бэкэнде или отсутствие DNS-записей домена.
Напомню, что в начале июля операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya. Для атаки хакеры использовали 0-day уязвимости в продукте компании (VSA).
Проблема в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
После этой атаки хакеры потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.
В прошлом месяце REvil тоже попала на первый полосы многих изданий, так как атаковала компанию JBS, которая является крупнейшим в мире поставщиком говядины и птицы, а также вторым по величине производителем свинины. Компания работает в США, Австралии, Канаде, Великобритании и так далее, обслуживая клиентов из 190 стран мира.
Так как давно известно, что REvil – русскоязычная хак-группа, на днях президент США Джо Байден в телефонном разговоре призвал президента России Владимира Путина пресечь атаки хакеров-вымогателей, действующих с территории РФ. Байден заявил, что если после этого Россия не примет меры, США будут вынуждены принять их сами.
«Я предельно ясно объяснил ему [Путину], что когда операция программы-вымогателя исходит с его территории, Соединенные Штаты ожидают, что даже если она не организована государством, они будут действовать, если мы предоставим им достаточно информации о том, кто к этому причастен», — сообщил Байден журналистам после телефонного разговора.
Также стоит отметить, что совсем недавно в похожих обстоятельствах свою деятельность экстренно прекратили операторы вымогателей DarkSide и Babuk. Первая группировка «закрылась» после масштабной атаки на американского оператора трубопровода Colonial Pipeline, так как привлекла к себе слишком много внимания (в том числе, со стороны правоохранительных органов). Вторая группа объявила о прекращении работы после громкой атаки на полицейское управление Вашингтона.
UPD.
Представитель хак-группы, стоящей за вымогателем LockBit, сообщил на известном хакерском форуме XSS, что, по слухам, операторы REvil стерли свои серверы, узнав о некоем "запросе органов".
Вскоре после публикации этого сообщения администрация XSS забанила на форуме пользователя Unknown, публичного представителя группы REvil. Как правило, администрация хак-форумов блокирует пользователей в том случае, если есть подозрения, что аккаунт находится под контролем полиции.