Русскоязычную группировку REvil заподозрили в массированной кибератаке на американскую IT-компанию Kaseya, которая обеспечивает малый и средний бизнес информационными технологиями для удаленного мониторинга — например, поставок товаров и услуг. В результате взлома работа тысяч компаний оказалась заблокирована.
Еще 2 июля специалисты Kaseya рекомендовали своим клиентам отключить ПО из-за возможной атаки, которая позже подтвердилась. Изначально представители компании заявляли, что взлом коснулся небольшой группы их клиентов, но по мере расследования инцидента стало понятно, что проблема имеет куда более крупный масштаб.
REvil взломала программное обеспечение для удаленного администрирования Virtual System Administrator (VSA) компании Kaseya и установила вредоносное ПО, которое, в числе прочего, ограничило доступ к бухгалтерии фирмы. Атакованные компьютеры оказались заблокированы вирусом-вымогателем, который разблокирует важную информацию после получения выкупа. При этом от действий REvil пострадали не только американские, но и европейские компании. Как сообщило Федеральное ведомство по безопасности в сфере информационной техники (BSI), в Германии заблокирована работа тысяч компьютеров. По данным The Hacker News, за дешифровку данных хакеры требуют 70 миллионов долларов в биткоинах.
«Это одна из самых масштабных атак, осуществленных негосударственными структурами, которую мы когда-либо видели. И она, похоже, направлена исключительно на получение денег. Трудно представить лучший способ распространения вредоносного ПО, чем через доверенных поставщиков IT-услуг», — заявил глава компании Kudelski Security Эндрю Говард.
Комментируя инцидент, президент США Джо Байден заявил, что не уверен в том, что к атаке компанию на Kaseya имеют отношение российские власти. И заверил, что американские спецслужбы займутся расследованием этой кибератаки.
REvil нередко связывают с Россией из-за того, что они не атакуют российские организации и предприятия, которые находятся в странах бывшего СССР. При этом группировка часто публикует сообщения на русском языке.
В марте REvil зашифровала файлы компании Acer и потребовала заплатить $50 млн в криптовалюте Monero, в апреле группировка атаковала поставщика Apple.
В июне жертвой группировки стала крупнейшая мясоперерабатывающая компания в мире JBS, которой пришлось выплатить хакерам $11 миллионов в биткоинах.