Apple Tasarımlarını Hackleyen REvil Fidye Yazılımı Grubu Hacklendi

Nisan ayında, REvil fidye yazılımı grubu, lansman öncesinde 2021 MacBook Pro tasarımlarını ortaya çıkarmak için Mac montajcısı Quanta'yı hackledi. Şimdi REvil, FBI liderliğindeki bir operasyonda, Gizli Servis ve birden fazla ülkedeki kolluk kuvvetleriyle ortaklaşa saldırıya uğradı.

Kolluk kuvvetleri, daha fazla saldırıları önlemek ve fidye yazılımı grubunu çalıştırmaya dahil olan kişileri takip etmek için tasarlanmış bir operasyonda bir dizi REvil sunucusunun kontrolünü ele geçirdi…

Arka plan

Fidye yazılımı grubu REvil, Nisan ayında Apple tedarikçisi Quanta Computer'a ait sistemlere saldırdığını ve o zamanlar piyasaya sürülmemiş bir dizi yeni ürün için dahili mühendislik şemaları elde ettiğini söyledi. Başlangıçta yeni bir şey ortaya koymayan örnekleri paylaşarak bu iddiayı destekledi.

REvil, dosyaları halka açmaması karşılığında önce Quanta'ya 50 milyon dolar şantaj yapmaya çalıştı ve ardından aynı şeyi Apple ile denedi.

Bu başarısız olduğunda, REvil devam etti ve 2021 MacBook Pro'da bulunan yeni bağlantı noktalarını ortaya çıkaran şemaları yayınladı. Makineler gösterilen MagSafe, HDMI ve SD kart yuvası G/Ç ile piyasaya sürüldüğünde şemaların doğruluğu kanıtlandı.

REvil fidye yazılımı grubu FBI tarafından hacklendi

Reuters, FBI ve diğer kolluk kuvvetlerinin şimdi grubun durumunu değiştirdiğini bildirdi.

ABD ile çalışan üç özel sektör siber uzmanına ve bir eski yetkiliye göre, REvil fidye yazılımı grubu bu hafta çok ülkeli bir operasyonla saldırıya uğradı ve çevrimdışı olmaya zorlandı […] kurban verilerini sızdırmak ve şirketleri gasp etmek için kullanılan, artık mevcut değil

VMWare siber güvenlik stratejisi başkanı Tom Kellermann, kolluk kuvvetleri ve istihbarat personelinin grubun ek şirketleri mağdur etmesini engellediğini söyledi.

ABD Gizli Servisi'nin siber suç soruşturmaları danışmanı Kellermann, "FBI, Siber Komutanlık, Gizli Servis ve benzer görüşteki ülkelerle birlikte bu gruplara karşı gerçekten önemli yıkıcı eylemlerde bulundu" dedi. “REvil listenin başındaydı.”

Gerçek saldırının "yabancı bir ortaktan" bir siber güvenlik ekibi tarafından yapıldığı söyleniyor. REvil'in arkasındaki kişilerden biri bunun gerçekleştiğini doğruladı.

Daha önceki bir kapatmanın ardından grubun operasyonlarının yeniden başlatılmasına yardımcı olan ve "0_neday" olarak bilinen bir liderlik figürü, REvil'in sunucularının isimsiz bir parti tarafından saldırıya uğradığını söyledi.

0_neday geçen hafta bir siber suç forumunda "Sunucu ele geçirildi ve beni arıyorlardı" diye yazdı ve ilk olarak güvenlik şirketi Recorded Future tarafından fark edildi. "Herkese iyi şanslar; Ben izinliyim."

Lezzetli bir ironi parçası olarak, kolluk kuvvetleri REvil'in buna karşı kendi taktiklerinden birini kullandı. Verileri şifreleyen fidye yazılımı saldırılarına karşı yaygın bir yanıt, yedekten geri yüklemektir. REvil, bunu engellemek için genellikle yedeklere kod enjekte eder ve FBI liderliğindeki operasyonun, grubun kendi yedekleriyle aynı şeyi yaptığı bildiriliyor. Grup tarafından kullanılan bir dizi web sitesini indirdiler ve yedekleri tehlikeye attılar.

Çete üyesi 0_neday ve diğerleri, bu web sitelerini geçen ay bir yedekten geri yüklediğinde, zaten kolluk kuvvetleri tarafından kontrol edilen bazı dahili sistemleri bilmeden yeniden başlattı.

Rus liderliğindeki güvenlik şirketi Group-IB'nin adli tıp laboratuvarı başkan yardımcısı Oleg Skulkin, "REvil fidye yazılımı çetesi, güvenliğinin ihlal edilmediği varsayımıyla altyapıyı yedeklerden geri yükledi" dedi. "İronik bir şekilde, çetenin en sevdiği yedeklerden ödün verme taktiği onlara karşı kullanıldı."