REvil / Sodinokibi
Что такое REvil / Sodinokibi?
REvil / SodinokibiРусскоязычная ransomware-as-a-service группа 2019—2021 годов, известная двойным вымогательством и атакой на цепочку поставок Kaseya VSA.
REvil, также известный как Sodinokibi, появился в апреле 2019 года и считается преемником GandCrab. Работал по схеме RaaS: партнёры удерживали 60—70% выкупа и применяли агрессивные тактики — аукционы краденых данных, громкие публичные требования. Среди известных жертв — Travelex (декабрь 2019), JBS Foods (май 2021, по сообщениям выплатили 11 млн USD) и Kaseya VSA в июле 2021 года, когда уязвимость zero-day на стороне MSP позволила REvil распространить шифровальщик примерно на 1500 организаций ниже по цепочке — одно из крупнейших событий ransomware через supply chain. В конце 2021 года США, ЕС и Россия провели аресты, takedown инфраструктуры и предъявили обвинения; в январе 2022 года ФСБ России объявила о задержаниях. С тех пор фиксировались отдельные попытки возобновления и ребрендинга.
● Примеры
- 01
Атака через цепочку поставок Kaseya VSA в июле 2021 года распространила REvil примерно на 1500 клиентов MSP.
- 02
JBS Foods, по сообщениям, в мае 2021 года выплатил REvil 11 млн USD ради восстановления мясоперерабатывающих операций.
● Частые вопросы
Что такое REvil / Sodinokibi?
Русскоязычная ransomware-as-a-service группа 2019—2021 годов, известная двойным вымогательством и атакой на цепочку поставок Kaseya VSA. Относится к категории Защита и операции в кибербезопасности.
Что означает REvil / Sodinokibi?
Русскоязычная ransomware-as-a-service группа 2019—2021 годов, известная двойным вымогательством и атакой на цепочку поставок Kaseya VSA.
Как работает REvil / Sodinokibi?
REvil, также известный как Sodinokibi, появился в апреле 2019 года и считается преемником GandCrab. Работал по схеме RaaS: партнёры удерживали 60—70% выкупа и применяли агрессивные тактики — аукционы краденых данных, громкие публичные требования. Среди известных жертв — Travelex (декабрь 2019), JBS Foods (май 2021, по сообщениям выплатили 11 млн USD) и Kaseya VSA в июле 2021 года, когда уязвимость zero-day на стороне MSP позволила REvil распространить шифровальщик примерно на 1500 организаций ниже по цепочке — одно из крупнейших событий ransomware через supply chain. В конце 2021 года США, ЕС и Россия провели аресты, takedown инфраструктуры и предъявили обвинения; в январе 2022 года ФСБ России объявила о задержаниях. С тех пор фиксировались отдельные попытки возобновления и ребрендинга.
Как защититься от REvil / Sodinokibi?
Защита от REvil / Sodinokibi обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия REvil / Sodinokibi?
Распространённые альтернативные названия: Sodinokibi, REvil RaaS.
● Связанные термины
- defense-ops№ 901
Ransomware-группировка
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Криминальная бизнес-модель, в которой операторы шифровальщика сдают своё ВПО и инфраструктуру в аренду партнёрам, выполняющим атаки и делящимся прибылью.
- defense-ops№ 624
LockBit
Русскоязычная ransomware-as-a-service группа, ставшая в 2022—2024 годах самой плодовитой по числу жертв и серьёзно подорванная операцией Cronos.
- defense-ops№ 215
Ransomware Conti
Русскоязычная ransomware-операция 2020—2022 годов, проводившая одну из самых массовых программ двойного вымогательства и распавшаяся после крупных внутренних утечек.
- defense-ops№ 099
BlackCat / ALPHV
Ransomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.