Групировката REvil отново активно извършва атаки в мрежата, според компанията за информационна сигурност ReversingLabs. Други експерти обаче са сигурни, че още преди операцията на ФСБ хакерите са минали в нелегалност. Group-IB смята, че е твърде рано да се говори за пълното премахване на хакерите, а бившият служител на ФСБ разкри защо затворът няма да спре „руските хакери“.

Survivors

Според компанията за информационна сигурност ReversingLabs, арестите на предполагаеми членове на киберпрестъпната група REvil, които в международната общност често се наричат ​​„руски хакери“, не са засегнали активност в мрежата.

Експерти твърдят, че арестът на 14 от предполагаемите й участници като част от операцията на руската ФСБ не е повлиял на темпа на атаките. Според тях след арестите броят на новите инфекции на ден се е увеличил от 24 (169 на седмица) на 26 (180 на седмица).

Експертите по информационна сигурност от други компании обаче се съмняват, че данните на ReversingLabs са верни. Те само признават, че REvil не е напълно ликвидиран.

Олег Скулкин, ръководител на лабораторията по компютърна криминалистика Group-IB, каза, че според негови данни групата REvil е станала много по-малко активна. „Дори преди арестите в Русия REvil не беше активен от няколко месеца. Но наистина е твърде рано да се говори за пълната ликвидация на REvil “, каза той.

„Въз основа на обвиненията не са били задържани разработчиците на ransomware REvil и дори не партньорите, които са го наели, а лицата, участващи в осребряването на средствата“, добави анализаторът.

Според него тези, които са останали известно време на свобода, може да имат затруднения с осребряването на незаконно придобити средства, но нищо повече.

Причината е, че REvil активно работи по модела RaaS (Ransomware-as-a-Service), при който разработчиците продават или отдават под наем зловреден софтуер на своите партньори, за да хакнат допълнително мрежата и да внедрят ransomware. Скулкин отбеляза, че дейността на REvil в този формат е една от основните причини за впечатляващия растеж на пазара на ransomware.

„Сега бившите партньори на REvil могат временно да спрат дейността си или да работят с други партньорски програми без никакви проблеми.

И така, въпреки загрижеността на общността на киберпрестъпниците относно ситуацията с REvil, атаките от представители на други партньорски програми ще продължат – това е факт“,

- заяви специалистът по информационна сигурност.

Експертът по информационна сигурност Виталий Кремез от Advanced Intel се съгласи, че REvil вече не е толкова активен, колкото беше преди. Според него ReversingLabs са действали неправилно, публикувайки материали за повишаване на активността, тъй като отдавна не е имало активност на група хакери на това ниво.

Експерти от MalwareHunterTeam също са сигурни, че REvil е намалил активността си още преди арестите, потвърждавайки думите на Скълкин от Group-IB.

Ефект за три години

Александър Беляев, бивш служител на отдела за борба с организираната престъпност на ФСБ в Москва и Московска област, каза, че дори след операцията на ФСБ хакерите, използващи изнудващ софтуер от REvil, ще продължат дейностите на групата.

„Устойчивостта на ефекта от подобни операции за потискане на дейността на хакерски групи е времето, което хората прекарват офлайн. Всъщност по време на затвора. Осъдиха го на три години, след което хакерът излиза и отново е взет за негов”, каза той.

Според експерта, дори ако условията в мястото за лишаване от свобода са „идеални“ и хакерът не е получил никаква нова информация за хакерски технологии и нов софтуер, ще му отнеме много малко време, за да възстанови пропастта в знанията.

„В рамките на три месеца човек е в състояние да възстанови своите компетенции и да повиши нивото си на знания до пълна готовност за извършване на нови киберпрестъпления“, заяви Беляев.

Бившият служител на ФСБ каза, че заплахата от нова присъда няма да спре задържаните членове на REvil.

„Това е въпрос на икономика. Няма причина да се преквалифицира за друга професия. Финансовата ефективност в ИТ сектора превъзхожда почти всеки друг. Разходите също са почти нулеви, трябва само електричество. Така че почти винаги тези, които са извършили киберпрестъпления, ще продължат да правят същото“, отбеляза Беляев.

Според него поправителната система не е в състояние да помогне фундаментално на тези хора, тъй като те „дошли до идеята да извършват престъпления с трезв ум и ясна памет“.

Той престава да признава тези действия за незаконни, като нещо, което би трябвало да накара съвестта му да се върти. Това вече е професионален закорален престъпник”, завърши специалистът.

Експертът обаче смята, че операцията на ФСБ срещу REvil помага за минимизиране на атаките от групата.„Всички киберпрестъпления се извършват от хора, следователно, разбира се, арестуването и изправянето под съд и лишаването на конкретни хакери от възможността да извършват своите действия решава въпроса за повишаване на нивото на киберзащита“, каза той.

Той също така посочи като аргумент, че нито една престъпна група не би раздала на никого безплатно разработките, които й донесоха пари, така че развитието на REvil едва ли ще отиде изцяло и изцяло на някой друг. Плюс това, добави Беляев, сферата на киберпрестъпността изисква висока квалификация на всеки участник в дейността. Съответно, не всеки хакер ще може да приложи това, което направи REvil.

bbabo.Net