Аресты участников группировки REvil никак не сказались на ее активности

По данным ИБ-компании ReversingLabs, несмотря на недавние аресты предполагаемых участников кибервымогательской группировки REvil (Sodinokibi), ее активность нисколечко не снизилась.

После объявления ФСБ РФ о ликвидации REvil «по запросу США» прошло две недели, но RaaS-предприятие по-прежнему процветает. Арест 14 ее предполагаемых участников никак не сказался на темпе ее операций, установили эксперты.

В ноябре 2021 года Европол сообщил об аресте семи человек по подозрению в причастности к кибератакам с использованием вымогательского ПО REvil и GandCrab (аресты были произведены в течение семи месяцев). В то время специалисты ReversingLabs фиксировали в среднем 47 новых заражений REvil в сутки (326 в неделю).

Этот показатель намного выше по сравнению с сентябрем (43 заражений в сутки – 307 в неделю) и октябрем (22 заражений в сутки – 150 в неделю), когда REvil внезапно ушла в offline, но существенно ниже по сравнению с июлем (87 заражений в сутки – 608 в неделю).

После недавних арестов предполагаемых участников группировки в России число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю).

Координированные меры правоохранительных органов в отношении REvil, вероятнее всего, окажут лишь краткосрочное влияние на RaaS. Поэтому для полного искоренения киберпреступной группировки потребуются гораздо более жесткие меры, учитывая ее корпоративную структуру, где осуществлением атак занимаются партнеры, и они же получают выкуп от жертв.

Другими словами, устранение только лишь партнеров никак не скажется на костяке RaaS, и группировка продолжит свои операции как ни в чем не бывало. С другой стороны, если ликвидировать только костяк, партнеры все равно смогут либо заново воссоздать предприятие, либо перейти на использование другого RaaS.