REvil

REvil, juga dikenal sebagai Sodinokibi, adalah kelompok peretas yang berbasis di Rusia atau berbahasa Rusia yang beroperasi sebagai ransomware-as-a-service (RaaS). Kelompok ini terkenal karena metode pemerasannya yang agresif, termasuk ancaman untuk mempublikasikan informasi sensitif di situs mereka, Happy Blog, jika tebusan tidak dibayar. REvil dikenal telah menargetkan berbagai perusahaan besar, termasuk pemasok Apple, dan mencuri skema rahasia produk-produk mendatang mereka. Pada Januari 2022, Badan Keamanan Federal Rusia (FSB) mengklaim telah membubarkan REvil dan menuntut beberapa anggotanya.
Target
REvil dikenal tidak menargetkan organisasi di Rusia atau negara-negara bekas Soviet, yang mengindikasikan bahwa mereka mungkin beroperasi dari Rusia. Ransomware yang digunakan oleh REvil mirip dengan ransomware yang digunakan oleh DarkSide, kelompok peretas lain; kode REvil tidak tersedia untuk umum, yang menunjukkan bahwa DarkSide mungkin merupakan cabang atau mitra REvil. REvil dan DarkSide menggunakan catatan tebusan yang serupa dan kode yang sama untuk memastikan bahwa korban tidak berada di negara-negara CIS (Commonwealth of Independent States).
REvil merekrut afiliasi untuk mendistribusikan ransomware mereka, dan pendapatan dari pembayaran tebusan dibagi antara afiliasi dan pengembang ransomware. Para ahli keamanan siber percaya bahwa REvil merupakan turunan dari geng peretas terkenal GandCrab, yang telah bubar. Ini diduga karena REvil mulai aktif segera setelah GandCrab ditutup, dan ransomware mereka berbagi sejumlah besar kode yang sama.
Mekanisme Serangan
REvil dikenal karena melakukan pemerasan dengan mengancam untuk mempublikasikan data yang dicuri jika tebusan tidak dibayar. Setelah serangan, mereka sering menggunakan situs Happy Blog untuk mempublikasikan informasi yang telah dicuri sebagai tekanan tambahan untuk pembayaran.
Sejarah dan Serangan
2020
- Mei : REvil mencuri hampir satu terabyte informasi dari firma hukum Grubman Shire Meiselas & Sacks dan menuntut tebusan untuk tidak mempublikasikan data tersebut. Mereka juga mencoba memeras Donald Trump dengan menuntut $42 juta, mengklaim telah mendekripsi kriptografi elliptic-curve yang digunakan oleh firma tersebut. Selain itu, mereka merilis dokumen hukum terkait penyanyi Lady Gaga dan mengklaim akan menjual informasi tentang Madonna tetapi akhirnya membatalkan rencana tersebut.
2021
- Maret : REvil menyerang Harris Federation dan mempublikasikan dokumen keuangan di blog mereka, mengakibatkan sistem IT federasi tersebut mengalami shutdown selama beberapa minggu dan berdampak pada sekitar 37.000 siswa. Pada 18 Maret 2021, afiliasi REvil mengklaim telah mencuri data dari Acer dan menginstal ransomware, dengan tebusan sebesar $50 juta yang meningkat menjadi $100 juta jika tidak dibayar sebelum 28 Maret 2021.
- April : REvil mencuri rencana produk mendatang Apple dari Quanta Computer, termasuk rencana untuk laptop dan Apple Watch, dan menuntut $50 juta untuk tidak merilis rencana tersebut.
- Mei : Pada 30 Mei 2021, REvil menyerang JBS S.A., memaksa penutupan sementara semua pabrik daging sapi di AS dan mengganggu operasi di pabrik unggas dan daging babi. JBS membayar tebusan sebesar $11 juta dalam Bitcoin kepada REvil.
- Juni : Pada 11 Juni 2021, Invenergy melaporkan bahwa mereka diserang oleh ransomware, dan REvil mengklaim bertanggung jawab.
- Juli : Pada 2 Juli 2021, REvil menyerang ratusan penyedia layanan yang dikelola melalui perangkat lunak manajemen desktop Kaseya, menuntut $70 juta untuk memulihkan data yang dienkripsi. Serangan ini memaksa rantai toko kelontong Coop di Swedia untuk menutup 800 toko selama beberapa hari. Pada 7 Juli 2021, REvil membobol komputer kontraktor teknologi peluncuran senjata HX5, yang melayani klien seperti Angkatan Bersenjata AS dan NASA, dan merilis dokumen yang dicuri di Happy Blog.
Setelah pertemuan telepon antara Presiden AS Joe Biden dan Presiden Rusia Vladimir Putin pada 9 Juli 2021, Biden menyatakan bahwa AS akan mengambil tindakan jika Rusia tidak bertindak terhadap kelompok peretas ini. Pada 13 Juli 2021, situs web dan infrastruktur REvil menghilang dari internet, dan laporan menunjukkan bahwa mungkin Rusia memaksa mereka untuk menutup.
- September : Pada bulan September 2021, perusahaan keamanan siber Bitdefender merilis utilitas dekripsi universal gratis untuk membantu korban ransomware REvil/Sodinokibi memulihkan file yang terenkripsi sebelum 13 Juli 2021. Selama periode ini hingga awal November, utilitas ini digunakan oleh lebih dari 1.400 perusahaan untuk menghindari pembayaran tebusan lebih dari $550 juta.
- Oktober : Pada 21 Oktober 2021, server REvil diretas dalam operasi multi-negara dan dipaksa offline. Penyelidikan menunjukkan bahwa FBI, Cyber Command, dan Secret Service terlibat dalam tindakan disruptif yang signifikan terhadap kelompok ini.
Investigasi dan Tuntutan Kriminal
Sebagai bagian dari Operasi GoldDust yang melibatkan 17 negara, Europol, Eurojust, dan INTERPOL, otoritas penegak hukum menangkap lima individu terkait dengan REvil dan dua tersangka yang terhubung dengan ransomware GandCrab. Mereka diduga bertanggung jawab atas 5.000 infeksi dan mengumpulkan setengah juta euro dari pembayaran tebusan.
Pada 8 November 2021, Departemen Kehakiman AS mengeluarkan dakwaan terhadap Yaroslav Vasinskyi dari Ukraina dan Yevgeniy Polyanin dari Rusia. Vasinskyi didakwa melakukan serangan ransomware terhadap beberapa korban termasuk Kaseya, dan ditangkap di Polandia pada 8 Oktober. Polyanin didakwa melakukan serangan ransomware terhadap beberapa korban termasuk bisnis dan entitas pemerintah di Texas. Departemen Kehakiman AS bekerja sama dengan Kepolisian Nasional Ukraina dan juga mengumumkan penyitaan $6,1 juta yang terkait dengan pembayaran tebusan. Jika terbukti bersalah, Vasinskyi dapat menghadapi hukuman maksimal 115 tahun penjara, dan Polyanin 145 tahun penjara.
Pada Januari 2022, FSB Rusia mengklaim telah membubarkan REvil dan menuntut beberapa anggotanya setelah menerima informasi dari AS.
Fluffy
Ada kelompok peretas yang disebut Fluffy yang berkantor pusat di Corrèze, Prancis, dan diketahui memiliki afiliasi dengan REvil. Kelompok ini terutama menggunakan typosquatting, cybersquatting, dan keyword stuffing untuk mendistribusikan ransomware seperti Magniber, Sodinokibi (REvil), GandCrab, dan BlueCrab. Fluffy dikenal telah menargetkan sejumlah korban, terutama di Korea Selatan. Mereka menggunakan metode sederhana seperti email untuk distribusi ransomware REvil dan dikenal karena membagikan keuntungan di antara anggota mereka. Kasus-kasus serangan seperti serangan cyber terhadap cabang Toshiba di Prancis pada Mei 2021, serangan terhadap Doosan Group pada Agustus 2022, dan serangan terhadap National Tax Service di Korea Selatan pada Maret 2023 menunjukkan keberhasilan teknik mereka.
Referensi: