נעצרה קבוצת ההאקרים הרוסית REvil, שפגעה בעשרות גופים ישראלים
מאת: מערכת Telecom News, 14.1.22, 23:39
הקבוצה נעצרה הודות לשת"פ ראשון מסוגו בין רוסיה לארה"ב. אך האם מדובר בשת"פ אמיתי והאם העיתוי הוא מקרי?
כנופיית ההאקרים הרוסית REvil, אחת מקבוצת הכופרה הגדולות והידועות לשמצה בעולם, שתקפה וסחטה עד היום אלפי ארגונים ברחבי העולם, ביניהם גם בישראל, באמצעות תןוכנת הכופר Sodinokibi/REvilנסגרה היום כליל הודות לשת"פ בינלאומי ויוצא דופן בין שירות הביטחון הפדרלי ברוסיה (FSB) לבין רשויות ארה"ב, במסגרתו כתריסר חברי הקבוצה נעצרו בפשיטה משטרתית.
קבוצת REvil (או כאמור בשמה האחר Sodinokibi), נחשבה לאחת מקבוצות פשעי הסייבר המסוכנות ביותר. שיטת המתקפה שלה כללה הוצאת כל המידע ממחשבי הקורבנות וחסימתם המוחלטת. היא גם סיפקה שירותי "כופרה כשירות" (ransomware-as-a-service). כלומר, השכירה את שירותי טכנולוגיית התקיפה המתקדמות שלה לכל פושע מזדמן. כשהקורבן שילם את הכופר, וברוב המקרים זה אכן קרה, היא התחלקה עם הפושעים בשלל. בחלק מהמקרים, שבהם סרבו הקורבנות לשלם, הכנופיה גם פרסמה את הקבצים, שנמצאו במחשביהם, באתר ההדלפות שלה ברשת האפלה.
חברי הכנופייה דוברים רוסית ועל פי הערכות פעלו משטחה של רוסיה, ייתכן ובשיתוף פעולה עם הממשל, או לפחות תוך העלמת עין מצידו.
ביולי 2021 (ביום העצמאות האמריקאי) הכנופיה תקפה כ-200 חברות בעולם לאחר שהצליחה לחדור למערכות חברת קסיה KASEYA המשמשת לניהול מחשבי לקוחות מרחוק (MPS). מדובר היה במתקפה רחבה על שרשרת האספקה (supply chain attack), כלומר חדירה לחברה הנותנת שירותים לחברות אחרות, וממנה חלה התפשטות לכל הלקוחות.
יש לציין, שארה״ב הציעה בנובמבר האחרון פרס כספי של מיליוני דולרים לכל מידע, שיוביל לחברי הכנופייה. כ"כ, משרד האוצר האמריקאי פרסם בנובמבר האחרון גם סנקציות נגד חברי הכנופיה.באותו הזמן גם פרסם משרד המשפטים האמריקאי על לכידת 2 מחברי הכנופיה. וגם פורסם על לכידת חברי כנופיה ברומניה וגם בכווית (שם מדובר באחת השותפות של REvil, כנופיית הכופר GandGrab).
אריה זילברשטיין, (בתמונה משמאל), VP Incident Response בסיגניהSygnia, חברת הסייבר של Team8 ו-Temasek המספקת שירותי ייעוץ ותגובה למתקפות סייבר מורכבות עבור ממשלות וארגונים גדולים גלובליים: "מעצר חברי הקבוצה מסמל את העלייה במעורבות ממשלתית נגד פשעי סייבר, בדגש על רוסיה, שבה זו הפעם הראשונה.
מעורבות ושת"פ אמריקאי-רוסי מהסוג הזה יכול להביא לשינוי ולבשורה בתגובה לקבוצות כופרה ולהאטת ההתפשטות וההצלחה שלהן. אין ספק, שפשיעת סייבר המתקדמת מחייבת את רשויות החוק ברחבי העולם להיערך מחדש והפתרון היחיד הוא שיתוף פעולה בינלאומי. יחד עם זאת, מאחר שמדובר בקבוצות עם פעילות רחבה בכל העולם, יש סבירות גבוהה מאוד, שבחודשים הקרובים הקבוצה או שותפים של הקבוצה יצוצו מחדש תחת שם אחר.
יש להדגיש, שהפרסום על המעצר מגיע על רקע תקופה בה ישנה מתיחות רבה בין רוסיה לארה"ב, ולכן מדובר בלחץ אמריקאי במסגרת סדרת פעולות מתמשכות של הממשל, שמטרתן להוריד פעילויות תקיפה, שמקורן ברוסיה ולא בהכרח כשת"פ אמריקאי-רוסי. עיתוי פרסום המעצר מעלה סימני שאלה לאחר שהיום בבוקר התחילו להתפרסם ידיעות בדבר תקיפת סייבר נרחבת על שירותי ממשל אוקראיניים".