Выкладываю текстовую версию интервью без цензуры с REvil/Sodinokibi специально для xss.pro
Если хочется приятную картинку и звук вместо текста, тогда вам сюда. Приятного чтения!
Russian OSINT: "REvil внесли миллион долларов на депозит на хакерском форуме. " - именно так совсем недавно прозвучал громкий заголовок в журнале Хакер. “Таким образом хакеры хотят доказать потенциальным партнерам, что серьезно относятся к делу" – написла Мария Нефёдова в статье. Мне как обывателю вместе со зрителями интересно узнать что же такое REvil или как его еще называют Sodinokibi? Правильно ли я понимаю, что программа-шифровальщик REvil используется для получения выкупов от организаций в случае успешной атаки?
REvil: REvil (или как его называют ИБ-вендоры содинокиби) - шифровальщик, написанный на С. Да, программа шифрует пользовательские файлы, тем самым ограничивая доступ к ним. Для успешной атаки необходимо также ликвидировать резервные копии (NAS и TAPE хранилища например) и "слить" как можно больше информации себе. Очень часто платят не за сам факт шифрования, а за то, чтобы эти файлы не попали в публичный доступ. Пример того, как не надо делать - Travelex. На моей памяти они по итогу нашей атаки просто разорились из-за падения акций.
Russian OSINT: Как пишут журналисты, Revil работает по модели RAAS (Ransomware-as-a-Service, «Вымогатель-как-услуга»), в рамках этой договоренности аффилированные лица и разработчики программ-вымогателей разделяют доходы, полученные от выкупа. Правда что при таком «разделении труда» разработчики малвари получают долю 20-30%, тогда как распространителям остается 70-80% полученных выкупов?
REvil: Да, так и есть. Основную работу делают распространители, а софт лишь инструмент. Считаю это справедливым.
Russian OSINT: Объясните, пожалуйста, для зрителей и подписчиков, чем REvil отличается от других программ шифровальщиков, например WannaCry?
REvil: REvil не расчитан на массовость. WannaCry был очень глупым экспериментом, причем неуправляемым. Навести такой шорох и получить меньше 100к долларов - очень смешно. Как минимум у нас нет эксплойта RCE, как был у WannaCry, поэтому автоматически другие компьютеры, подобно червю, он не заражает. Во внешнем интернете. Внутри сети разумеется софт сам подключит внешние носители и системы для максимального эффекта.
Russian OSINT: Как появился REvil, есть ли предыстория создания проекта?
REvil: Да ничего особенного. Использовали подобный софт как адверты ранее - софт в итоге прекратил свое существование. Мы выкупили его исходники и написали свой продукт под свои цели.
Russian OSINT: Какие вы видите основные конкурентные преимущества у своего продукта в сравнении с другими ТОП-5 ransomware? Почему ваши так называемые партнеры выбирают именно вас?
REvil: Система шифрования. Ни у Maze, ни у Lockbit нет эллиптической криптографии, нет "тройной" схемы (ключ файла - ключ системы - ключ аффилированного лица). Но идут к нам скорее из-за нашей грамотной работы по получения выплаты (конверту) и технологиям. Maze и мы в принципе и задаем вектор направления рансомов в целом как ветки. Мы относимся к конкурентам вполне нейтрально и всегда готовы к диалогу (очень часто такое бывает, когда 1 компанию одновременно шифруют 2 локера. Если не договориться - оба останутся без денег).
Russian OSINT: Что означает приставка R в слове Revil? Это слово Reborn? То есть "перерождение"?
REvil: Ransom Evil. Мысль пришла от Resident Evil.
Russian OSINT: Когда я готовился к выпуску, надо признать, что я не до конца осознавал насколько Ransomware серьезный бизнес и в частности о Revil замешан в ряде громких скандалов, его упоминают такие авторитетные СМИ как Forbes, Wallstreet Journal, BBC, Security Lab, Xakep, Cyberbeast, даже в Wikipedia…..Какие ТОП-3 публичные атаки REvil вы считаете самые резонансными?
REvil: Travelex, Grubman и 23 муниципальных округа штата Техас. Это на вскидку. Будет еще 1 очень громкая атака, но ее пока афишировать не будем. Скажу лишь, что она связна с очень крупным разработчиком игр.
Russian OSINT: В некоторых СМИ писали, что в мае 2020 года вы потребовали от президента США Дональда Трампа 42 миллиона долларов. Утверждалось, что вы расшифровали криптографию эллиптической кривой, которую фирма использовала для защиты своих данных. Чем закончилась история, пошли ли власти США с вами на сделку выплатив выкуп?
REvil: Нет нет, это мы пожелали удачи АНБ, ФБР и секретной службе США в расшифровке данных. Не у Трампа, а у Алана Грубмана. Деньги заплатили за данные. Кто их купил - не скажу. Данные были касаемо схем ухода от уплаты налогов компаниями, аффилированным с Трампом.
Russian OSINT: Внесенный депозит в миллион долларов, это около 77 млн рублей по нынешнему курсу, мне так кажется, для вас это сущие копейки..если не секрет, какая примерно годовая выручка у REvil за 2019 и 2020 год в сравнении?
REvil: Более 100 млн долларов в год. Если говорить о рублях, то уже далеко за миллиард.
Russian OSINT: Не боитесь ли вы потерять 1 млн в случае если форум взломают или приватные ключи утекут в сеть? Как вы сами намекаете в своих постах, за вами ведут охоту западные спецслужбы
REvil: Заработаем еще. Деньги приходят и уходят.
Russian OSINT: Чтобы обслуживать такой сложный продукт как REvil, требуется больше 10 человек?
REvil: Если говорить о группе разработки хватит и меньше 10. А вот о группе пентеста больше 10 конечно.
Russian OSINT: Почему вы решили работать по модели Ransomware as-a-Service, а не делать все самим от начала до конца: взламывать, закрепляться, шифровать, требовать выкуп и отмывать деньги?
REvil: Мы и так и так работаем. По модели RaaS выгоднее. Больше прибыли получается.
Russian OSINT: Модель RaaS позволяет быстрее масштабировать ваш бизнес?
REvil: Безусловно
Russian OSINT: Какие варианты услуг вы сегодня предоставляете своим партнёрам?
REvil: Переговоры, давление на организацию. Ну и само программное обеспечение. Получение выкупа, предоставление дешифровщика.
Russian OSINT: Еще раз хочу зафиксировать важный момент для зрителей: когда к вам обращается партнер с просьбой предоставить ему вашу услугу, вы предоставляете ему REvil в аренду? То есть партнёр не управляет шифровальщиком и не знает как устроена его начинка…он пользуется лишь готовым продуктом. Верно?
REvil: Мы предоставляем софт и свои услуги по переговорам. Задача партнера - заразить сеть и убить бекапы. Скачать файлы. Все. Остальное наша забота.
Russian OSINT: Если организация платит выкуп, деньги сначала идут к вам, а потом вы распределяете их между партнерами?
REvil: Сразу автоматически распределяются системой. Но первоначальный кошелек конечно наш.
Russian OSINT: Были ли случаи конфликтов с партнерами, можете привести один запоминающийся случай и как его удалось разрешить?
REvil: Не вспомню если честно. У нас своя "закрытая семья". Отбор очень жесткий и неадекватных личностей мы даже не добавляем к себе в средства связи.
Russian OSINT: Кто сегодня ведет за вами охоту? ЦРУ, АНБ, ФБР, Интерпол?
REvil: Секретная служба США, Европол и ИБ-компании по всему миру. Это нормально. Проект проектировался под такое давление.
Russian OSINT: Бывали ли случаи когда под видом партнерства к вам пытались втереться в доверие агенты из секретной службы, NSA или ЦРУ?
REvil: Да. Но они сыпятся на проверке по "общеполитическим и социальным" вопросам стран СНГ. Были и рускоязычные, но когда мы говорим о конкретной специфике работы - человек плавает. Также сразу отказ.
Russian OSINT: Есть ли у вас забавная история из практики когда вас пытались завербовать? Расскажите запоминающийся случай.
REvil: Вербовать? Вербовать не знаю. Мы аполитичны. Сомневаюсь в практической пользе от нас как спецаппарата. Если вспомнить Трампа - там чисто деньги. Никакой политики. Нам все равно кто будет президентом. Мы работали, работаем и будем работать.
Russian OSINT: А пытались ли вас взломать "партнеры" через фишинговые ссылки, малвари, какие-нибудь сложные схемы с целью деанона?
REvil: Партнеры нет, а вот ИБ-эксперты да. Самый яркий пример - <script>alert('hello')</script>; и info.php в приложении в чат. Ломать пытаются, ежедневно. Трудно на самом деле ломать то, что ты не знаешь. Я уверен, эксперты даже не в курсе, какие сборки ОС стоят на серверах, какой веб-сервер. Просто атакуют на удачу. За shell.exe отдельный респект. Продукт создавался под такой масштаб и способен держать такую оборону.
Russian OSINT: Как относитесь к известному ИБ журналисту Брайну Кребсу, насколько объективно он пишет о вас?
REvil: Читали. Нейтрально.
Russian OSINT: В начале сентября 2020 года BancoEstado, один из трех крупнейших банков Чили был вынужден закрыть все отделения после атаки вируса-вымогателя. Писали,что инцидент произошел из-за того, что один из сотрудников банка открыл вредоносный документ Office, полученный по почте. Якобы вредоносный файл Office установил бэкдор в сети банка, а в ночь с пятницы на субботу хакеры воспользовались им и распространили шифровальщика по сети финансового учреждения.
Сообщается, что изначально специалисты банка рассчитывали быстро справиться с атакой, но ущерб оказался более серьезным, чем они думали, так как вымогатель зашифровал подавляющее большинство внутренних серверов и рабочих станций сотрудников. Подробности атаки не разглашаются, но источник, близкий к расследованию, сообщил, что внутренняя сеть банка была атакована REvil (Sodinokibi). Это действительно было или выдуманная история?
REvil: Действительно было. Наших рук дело. Очень часто компании замалчивают источник атаки. Репутация же. Падение акций.
Russian OSINT: Недавно крупный выкуп Ransomware заплатила компания Tyler Technologies (ориентировочно $10 млн). А известны ли другие интересные случаи, когда вымогатели воспользовались уязвимостями в системах крупных технологических компаний. Можете ли привести конкретные примеры, когда экономия на ИБ привела к большим потерям?
REvil: Grubman и Travelex. Обе взломаны через старые Pulsar и Citrix. Настолько это на самом деле глупо. Получали доступ всей сети за 3 минуты. Просто из-за 1 уязвимости, которая лечится патчем.
Russian OSINT: В скольки % случаев крупные компании идут с вами на тайную сделку и платят выкуп чтобы не было публикаций в СМИ или им не угрожал хейт за халатное отношение к безопасности
REvil: В 1/3 случаях
Russian OSINT: Насколько честно вы ведете переговоры с компаниями в случае успешной атаки? Если компания добросовестно платит выкуп, как она может быть уверена, что вы не удвоите сумму и не будет вновь требовать сумму?
REvil: Наша репутация нам дорога - она влияет на конверт (% оплат). Никаких обманов с нашей стороны никогда не было и не будет. Это основа. Будет плохой конверт люди уйдут. Репутация в подобном деле - это № 1.
Russian OSINT: Бывали ли у вас косяки когда не удавалось после получения выкупа расшифровать закриптованные файлы? То есть что-то пошло не так и вы уже сами не смогли ничего сделать.
REvil: Да. Если ранее пытались использовать сторонний софт по восстановлению данных. Если модифицировать хотя бы 1 бит файла - ключ будет утерян. Особенно часто такое бывает с антивирусом - он просто удаляет записки, а в них ключи. Говорю открыто - такие случаи крайне редки. Я помню всего 12 за все время работы. И никогда, разумеется, денег мы не брали. В записке есть предупреждение жертвам. Если они его не читают - их трудности.
Russian OSINT: Какие отрасли сейчас самые «жирные» для Ransomware атак? Где больше всего профита?
REvil: IT-провайдеры, страховые, юридические конторы. Производства, особенно как ни странно, агропромышленный комплекс.
Russian OSINT: Вы собственноручно не занимаетесь взломом и закреплением в инфраструктуру….это делают ваши партнеры, верно?
REvil: Есть у нас свой "летучий отряд", а также есть партнеры. Делаем и так и так.
Russian OSINT: В недавнем отчёте Microsoft говорилось, что 2 крайне эффективные атаки для внедрения Ransomware это заход через брутфорс и взлом RDP, как считате, будут ли меняться векторы атак со временем?
REvil: Брутфорс жив уже 20 лет. И будет жив. RDP это самый лучший вектор. Особенно свежая уязвимость BlueGate очень сильно ударит по нему.
Russian OSINT: Существует ли сегодня Android и iOS Ransomware? Выгодно ли этим заниматься? Допустим шифровать память телефона или облачные хранилища CEO компаний…будет ли движение в этом направлении?
REvil: Надо быть абсолютно отбитым, чтобы это делать. Я категорически против. Android и тем более iOS идеален для отработки банковской сферы. Что шифровать? Фотки, на которых вы кушаете мацу? Очень сильный ущерб, да.
Russian OSINT: В своем посте на форуме вы пишите “Наш софт неоднократно был проверен Европолом, Интерполом, ФБР, ЦРУ, АНБ, Секретной Службой США и иными правоохранительными органами и спецслужбами стран всего мира. Наш софт был использован по всему миру и прошел аудит безопасности на государственном уровне. Команды самого высокого класса доверяют нашему программному обеспечению и смогли значительно расширить свой бюджет и улучшить арсенал для работы. Совместно с нами новички, которые только скачали бесплатную версию msf буквально за месяц перешли на лицензионный cobalt strike, а спустя 6 месяцев - в их распоряжении были уже 0day lpe/rce эксплойты для успешной работы. И таких примеров достаточно“
Исходя из вашего текста, я так понимаю саппорты помогают и обучают новичков, то есть у вас выстроена целая иерархия и разделение труда….Неужели новички cтолько зарабатывают?
REvil: Саппорты помогут только в переговорах. Технические детали познают сами. Да, действительно так быстро могут. На моих глазах 1 команда с выкупами в 20-30к долларов поднялась до выкупов в 7-8 млн за 1 цель. За полгода. Иерархия врядли. Грамотное разделение труда. У нас нет главных. То, что сейчас я отвечаю - сугубо мое личное мнение. Все решения принимаются коллегиально. Я это очень ценю и уважаю.
Russian OSINT: Чтобы молодежь не ринулась за легкими деньгами, я хочу обязательно задать вопрос, связанный с рисками такой деятельности: какиесроки светят новичкам за занятие данной деятельность и насколько высоки ставки в вашей игре?
REvil: Если брать сферу вымогательства - серьёзно, я не удивлюсь если меня убьют. Я это пойму. Никто из нашей темы никогда не полетит в США и подобные страны и поскольку правосудия на нас нет - убить вполне вариант. Мы создаем серьёзные проблемы и фактически неуловимы. Сроки? 2 пожизненных.
Russian OSINT: Учитывая что за вами охотятся АНБ и ЦРУ, Tox или Jabber?
REvil: Свою сборку ОС, лично проверенную и скомпилированную (Gentoo например). Также и с софтом. Параноикам советую децентрализацию.
Russian OSINT: Monero по-прежнему спецслужбы не могут отследить?
REvil: Полагаю что да. Самый явный след - на биржах ее редко принимают ее большое количество вызывает вопросы. Поэтому монеро лишь транзитное платежное средство.
Russian OSINT: Занимаетесь ли вы благотворительностью? Например жертвуете в разные фонды открытого программного обеспечения, Tor Project, Electronic Frontier Foundation?
REvil: Возможно.
Russian OSINT: Как пишет Naked Security by Sophos: ваши излюбленные атаки входа в инфраструктуру компании это exploit kits, методки сканирования-эксплуатирования, RDP серверы, установочные файлы с backdoors. Какой вид атаки, по-вашему мнению, самый эффективный из вышеперечисленного?
REvil: Не знаю как попасть в инфраструктуру через связку эксплойтов, например RIG. Написано как-то неправильно. Самый лучший метод, лично для меня - поймать данные авторизации сисадмина-дрочера с обычного стиллера и получить полный доступ к MSP всей организации. Не из воздуха рассказываю - такое было на практике. Организация была серьёзная, выкуп с 6 нулями. А так RDP и эксплойты. Для очень важной цели - спам-рассылка с прозвоном.
Russian OSINT: Как вы думаете изменится рынок Ransomware в последующие 2-3 года? Какие глобальные движения или изменения будут на рынке?
REvil: Да. Все двигается в сторону слития файлов, а не их шифрования. Шифрование лишь приятное дополнение. Лично мне понравилась идея SunCrypt - ддос сайта и инфраструктуры, совместно с зашифрованными файлами и угрозой их публикации - очень сильное давление. Мы развиваем эту мысль.
Russian OSINT: Когда вы заработаете достаточно денег, как вы думаете, сможете остановиться в нужный момент? Или процесс связанный с большим риском и деньгами как наркотик, затягивает…..
REvil: Говоря о себе - давно пора бы остановиться. Денег хватит не на одну сотню лет. Но денег никогда не бывает много - их всегда бывает недостаточно.
Russian OSINT: Самый забавное резюме/автобиография, которое вам попадалось от кандитатов/партнеров за всё время своей работы...
REvil: Их на самом деле очень много. Самое среднее - скупаю дедики в шопе и хочу работать с вами. Редко на самом деле пишут действительно талантливые люди. Я думаю, все кто уже был, распределены по партнёркам. Поэтому и лично я думаю делать ставку на молодых. Давать им шанс проявить себя. А не проявит - конкурентов полно, спрос у нас всегда высокий - никто не в обиде.
Russian OSINT: Занимаясь тем чем вы занимаетесь, путешествовать возможно?
REvil: Невозможно - однозначно
Russian OSINT: Как распознать "Drovorubа", который хочет подружиться с вами? (сарказм в отношении названия руткита)
"АНБ выпустило предупреждение о шпионских операциях российской разведки (ГРУ) с использованием ранее не известного вредоносного инструментария для ОС на базе ядра Linux под названием «Дроворуб»"
REvil: Он очень настойчиво просит вторгнуться в твою сладкую систему с максимальными правами. Эгоист.
Russian OSINT: Опиши свою жизнь одним словом
REvil: Больше
Russian OSINT: Есть ли у вас сокровенная мечта?
REvil: Миллиард долларов. Затем 2 миллиарда. Если будет хорошее настроение - 5.
Russian OSINT: Где живете: на какой станции метро, улице, номер дома?
REvil: Никита Кувиков или Нариман Намазов. Что-то посередине их мест обитания.
Russian OSINT: Как ты докатился до такой жизни?
REvil: Один раз, когда я был маленький, установил членикс. И мне понравилось. Везде.
Russian OSINT: Что посоветуешь новичкам?
REvil: Чаще закусывать, а лучше запивать. Ну а если серьезно, учиться, читать, пробовать. Все получится, все реально.
Если хочется приятную картинку и звук вместо текста, тогда вам сюда. Приятного чтения!
Russian OSINT: "REvil внесли миллион долларов на депозит на хакерском форуме. " - именно так совсем недавно прозвучал громкий заголовок в журнале Хакер. “Таким образом хакеры хотят доказать потенциальным партнерам, что серьезно относятся к делу" – написла Мария Нефёдова в статье. Мне как обывателю вместе со зрителями интересно узнать что же такое REvil или как его еще называют Sodinokibi? Правильно ли я понимаю, что программа-шифровальщик REvil используется для получения выкупов от организаций в случае успешной атаки?
REvil: REvil (или как его называют ИБ-вендоры содинокиби) - шифровальщик, написанный на С. Да, программа шифрует пользовательские файлы, тем самым ограничивая доступ к ним. Для успешной атаки необходимо также ликвидировать резервные копии (NAS и TAPE хранилища например) и "слить" как можно больше информации себе. Очень часто платят не за сам факт шифрования, а за то, чтобы эти файлы не попали в публичный доступ. Пример того, как не надо делать - Travelex. На моей памяти они по итогу нашей атаки просто разорились из-за падения акций.
Russian OSINT: Как пишут журналисты, Revil работает по модели RAAS (Ransomware-as-a-Service, «Вымогатель-как-услуга»), в рамках этой договоренности аффилированные лица и разработчики программ-вымогателей разделяют доходы, полученные от выкупа. Правда что при таком «разделении труда» разработчики малвари получают долю 20-30%, тогда как распространителям остается 70-80% полученных выкупов?
REvil: Да, так и есть. Основную работу делают распространители, а софт лишь инструмент. Считаю это справедливым.
Russian OSINT: Объясните, пожалуйста, для зрителей и подписчиков, чем REvil отличается от других программ шифровальщиков, например WannaCry?
REvil: REvil не расчитан на массовость. WannaCry был очень глупым экспериментом, причем неуправляемым. Навести такой шорох и получить меньше 100к долларов - очень смешно. Как минимум у нас нет эксплойта RCE, как был у WannaCry, поэтому автоматически другие компьютеры, подобно червю, он не заражает. Во внешнем интернете. Внутри сети разумеется софт сам подключит внешние носители и системы для максимального эффекта.
Russian OSINT: Как появился REvil, есть ли предыстория создания проекта?
REvil: Да ничего особенного. Использовали подобный софт как адверты ранее - софт в итоге прекратил свое существование. Мы выкупили его исходники и написали свой продукт под свои цели.
Russian OSINT: Какие вы видите основные конкурентные преимущества у своего продукта в сравнении с другими ТОП-5 ransomware? Почему ваши так называемые партнеры выбирают именно вас?
REvil: Система шифрования. Ни у Maze, ни у Lockbit нет эллиптической криптографии, нет "тройной" схемы (ключ файла - ключ системы - ключ аффилированного лица). Но идут к нам скорее из-за нашей грамотной работы по получения выплаты (конверту) и технологиям. Maze и мы в принципе и задаем вектор направления рансомов в целом как ветки. Мы относимся к конкурентам вполне нейтрально и всегда готовы к диалогу (очень часто такое бывает, когда 1 компанию одновременно шифруют 2 локера. Если не договориться - оба останутся без денег).
Russian OSINT: Что означает приставка R в слове Revil? Это слово Reborn? То есть "перерождение"?
REvil: Ransom Evil. Мысль пришла от Resident Evil.
Russian OSINT: Когда я готовился к выпуску, надо признать, что я не до конца осознавал насколько Ransomware серьезный бизнес и в частности о Revil замешан в ряде громких скандалов, его упоминают такие авторитетные СМИ как Forbes, Wallstreet Journal, BBC, Security Lab, Xakep, Cyberbeast, даже в Wikipedia…..Какие ТОП-3 публичные атаки REvil вы считаете самые резонансными?
REvil: Travelex, Grubman и 23 муниципальных округа штата Техас. Это на вскидку. Будет еще 1 очень громкая атака, но ее пока афишировать не будем. Скажу лишь, что она связна с очень крупным разработчиком игр.
Russian OSINT: В некоторых СМИ писали, что в мае 2020 года вы потребовали от президента США Дональда Трампа 42 миллиона долларов. Утверждалось, что вы расшифровали криптографию эллиптической кривой, которую фирма использовала для защиты своих данных. Чем закончилась история, пошли ли власти США с вами на сделку выплатив выкуп?
REvil: Нет нет, это мы пожелали удачи АНБ, ФБР и секретной службе США в расшифровке данных. Не у Трампа, а у Алана Грубмана. Деньги заплатили за данные. Кто их купил - не скажу. Данные были касаемо схем ухода от уплаты налогов компаниями, аффилированным с Трампом.
Russian OSINT: Внесенный депозит в миллион долларов, это около 77 млн рублей по нынешнему курсу, мне так кажется, для вас это сущие копейки..если не секрет, какая примерно годовая выручка у REvil за 2019 и 2020 год в сравнении?
REvil: Более 100 млн долларов в год. Если говорить о рублях, то уже далеко за миллиард.
Russian OSINT: Не боитесь ли вы потерять 1 млн в случае если форум взломают или приватные ключи утекут в сеть? Как вы сами намекаете в своих постах, за вами ведут охоту западные спецслужбы
REvil: Заработаем еще. Деньги приходят и уходят.
Russian OSINT: Чтобы обслуживать такой сложный продукт как REvil, требуется больше 10 человек?
REvil: Если говорить о группе разработки хватит и меньше 10. А вот о группе пентеста больше 10 конечно.
Russian OSINT: Почему вы решили работать по модели Ransomware as-a-Service, а не делать все самим от начала до конца: взламывать, закрепляться, шифровать, требовать выкуп и отмывать деньги?
REvil: Мы и так и так работаем. По модели RaaS выгоднее. Больше прибыли получается.
Russian OSINT: Модель RaaS позволяет быстрее масштабировать ваш бизнес?
REvil: Безусловно
Russian OSINT: Какие варианты услуг вы сегодня предоставляете своим партнёрам?
REvil: Переговоры, давление на организацию. Ну и само программное обеспечение. Получение выкупа, предоставление дешифровщика.
Russian OSINT: Еще раз хочу зафиксировать важный момент для зрителей: когда к вам обращается партнер с просьбой предоставить ему вашу услугу, вы предоставляете ему REvil в аренду? То есть партнёр не управляет шифровальщиком и не знает как устроена его начинка…он пользуется лишь готовым продуктом. Верно?
REvil: Мы предоставляем софт и свои услуги по переговорам. Задача партнера - заразить сеть и убить бекапы. Скачать файлы. Все. Остальное наша забота.
Russian OSINT: Если организация платит выкуп, деньги сначала идут к вам, а потом вы распределяете их между партнерами?
REvil: Сразу автоматически распределяются системой. Но первоначальный кошелек конечно наш.
Russian OSINT: Были ли случаи конфликтов с партнерами, можете привести один запоминающийся случай и как его удалось разрешить?
REvil: Не вспомню если честно. У нас своя "закрытая семья". Отбор очень жесткий и неадекватных личностей мы даже не добавляем к себе в средства связи.
Russian OSINT: Кто сегодня ведет за вами охоту? ЦРУ, АНБ, ФБР, Интерпол?
REvil: Секретная служба США, Европол и ИБ-компании по всему миру. Это нормально. Проект проектировался под такое давление.
Russian OSINT: Бывали ли случаи когда под видом партнерства к вам пытались втереться в доверие агенты из секретной службы, NSA или ЦРУ?
REvil: Да. Но они сыпятся на проверке по "общеполитическим и социальным" вопросам стран СНГ. Были и рускоязычные, но когда мы говорим о конкретной специфике работы - человек плавает. Также сразу отказ.
Russian OSINT: Есть ли у вас забавная история из практики когда вас пытались завербовать? Расскажите запоминающийся случай.
REvil: Вербовать? Вербовать не знаю. Мы аполитичны. Сомневаюсь в практической пользе от нас как спецаппарата. Если вспомнить Трампа - там чисто деньги. Никакой политики. Нам все равно кто будет президентом. Мы работали, работаем и будем работать.
Russian OSINT: А пытались ли вас взломать "партнеры" через фишинговые ссылки, малвари, какие-нибудь сложные схемы с целью деанона?
REvil: Партнеры нет, а вот ИБ-эксперты да. Самый яркий пример - <script>alert('hello')</script>; и info.php в приложении в чат. Ломать пытаются, ежедневно. Трудно на самом деле ломать то, что ты не знаешь. Я уверен, эксперты даже не в курсе, какие сборки ОС стоят на серверах, какой веб-сервер. Просто атакуют на удачу. За shell.exe отдельный респект. Продукт создавался под такой масштаб и способен держать такую оборону.
Russian OSINT: Как относитесь к известному ИБ журналисту Брайну Кребсу, насколько объективно он пишет о вас?
REvil: Читали. Нейтрально.
Russian OSINT: В начале сентября 2020 года BancoEstado, один из трех крупнейших банков Чили был вынужден закрыть все отделения после атаки вируса-вымогателя. Писали,что инцидент произошел из-за того, что один из сотрудников банка открыл вредоносный документ Office, полученный по почте. Якобы вредоносный файл Office установил бэкдор в сети банка, а в ночь с пятницы на субботу хакеры воспользовались им и распространили шифровальщика по сети финансового учреждения.
Сообщается, что изначально специалисты банка рассчитывали быстро справиться с атакой, но ущерб оказался более серьезным, чем они думали, так как вымогатель зашифровал подавляющее большинство внутренних серверов и рабочих станций сотрудников. Подробности атаки не разглашаются, но источник, близкий к расследованию, сообщил, что внутренняя сеть банка была атакована REvil (Sodinokibi). Это действительно было или выдуманная история?
REvil: Действительно было. Наших рук дело. Очень часто компании замалчивают источник атаки. Репутация же. Падение акций.
Russian OSINT: Недавно крупный выкуп Ransomware заплатила компания Tyler Technologies (ориентировочно $10 млн). А известны ли другие интересные случаи, когда вымогатели воспользовались уязвимостями в системах крупных технологических компаний. Можете ли привести конкретные примеры, когда экономия на ИБ привела к большим потерям?
REvil: Grubman и Travelex. Обе взломаны через старые Pulsar и Citrix. Настолько это на самом деле глупо. Получали доступ всей сети за 3 минуты. Просто из-за 1 уязвимости, которая лечится патчем.
Russian OSINT: В скольки % случаев крупные компании идут с вами на тайную сделку и платят выкуп чтобы не было публикаций в СМИ или им не угрожал хейт за халатное отношение к безопасности
REvil: В 1/3 случаях
Russian OSINT: Насколько честно вы ведете переговоры с компаниями в случае успешной атаки? Если компания добросовестно платит выкуп, как она может быть уверена, что вы не удвоите сумму и не будет вновь требовать сумму?
REvil: Наша репутация нам дорога - она влияет на конверт (% оплат). Никаких обманов с нашей стороны никогда не было и не будет. Это основа. Будет плохой конверт люди уйдут. Репутация в подобном деле - это № 1.
Russian OSINT: Бывали ли у вас косяки когда не удавалось после получения выкупа расшифровать закриптованные файлы? То есть что-то пошло не так и вы уже сами не смогли ничего сделать.
REvil: Да. Если ранее пытались использовать сторонний софт по восстановлению данных. Если модифицировать хотя бы 1 бит файла - ключ будет утерян. Особенно часто такое бывает с антивирусом - он просто удаляет записки, а в них ключи. Говорю открыто - такие случаи крайне редки. Я помню всего 12 за все время работы. И никогда, разумеется, денег мы не брали. В записке есть предупреждение жертвам. Если они его не читают - их трудности.
Russian OSINT: Какие отрасли сейчас самые «жирные» для Ransomware атак? Где больше всего профита?
REvil: IT-провайдеры, страховые, юридические конторы. Производства, особенно как ни странно, агропромышленный комплекс.
Russian OSINT: Вы собственноручно не занимаетесь взломом и закреплением в инфраструктуру….это делают ваши партнеры, верно?
REvil: Есть у нас свой "летучий отряд", а также есть партнеры. Делаем и так и так.
Russian OSINT: В недавнем отчёте Microsoft говорилось, что 2 крайне эффективные атаки для внедрения Ransomware это заход через брутфорс и взлом RDP, как считате, будут ли меняться векторы атак со временем?
REvil: Брутфорс жив уже 20 лет. И будет жив. RDP это самый лучший вектор. Особенно свежая уязвимость BlueGate очень сильно ударит по нему.
Russian OSINT: Существует ли сегодня Android и iOS Ransomware? Выгодно ли этим заниматься? Допустим шифровать память телефона или облачные хранилища CEO компаний…будет ли движение в этом направлении?
REvil: Надо быть абсолютно отбитым, чтобы это делать. Я категорически против. Android и тем более iOS идеален для отработки банковской сферы. Что шифровать? Фотки, на которых вы кушаете мацу? Очень сильный ущерб, да.
Russian OSINT: В своем посте на форуме вы пишите “Наш софт неоднократно был проверен Европолом, Интерполом, ФБР, ЦРУ, АНБ, Секретной Службой США и иными правоохранительными органами и спецслужбами стран всего мира. Наш софт был использован по всему миру и прошел аудит безопасности на государственном уровне. Команды самого высокого класса доверяют нашему программному обеспечению и смогли значительно расширить свой бюджет и улучшить арсенал для работы. Совместно с нами новички, которые только скачали бесплатную версию msf буквально за месяц перешли на лицензионный cobalt strike, а спустя 6 месяцев - в их распоряжении были уже 0day lpe/rce эксплойты для успешной работы. И таких примеров достаточно“
Исходя из вашего текста, я так понимаю саппорты помогают и обучают новичков, то есть у вас выстроена целая иерархия и разделение труда….Неужели новички cтолько зарабатывают?
REvil: Саппорты помогут только в переговорах. Технические детали познают сами. Да, действительно так быстро могут. На моих глазах 1 команда с выкупами в 20-30к долларов поднялась до выкупов в 7-8 млн за 1 цель. За полгода. Иерархия врядли. Грамотное разделение труда. У нас нет главных. То, что сейчас я отвечаю - сугубо мое личное мнение. Все решения принимаются коллегиально. Я это очень ценю и уважаю.
Russian OSINT: Чтобы молодежь не ринулась за легкими деньгами, я хочу обязательно задать вопрос, связанный с рисками такой деятельности: какиесроки светят новичкам за занятие данной деятельность и насколько высоки ставки в вашей игре?
REvil: Если брать сферу вымогательства - серьёзно, я не удивлюсь если меня убьют. Я это пойму. Никто из нашей темы никогда не полетит в США и подобные страны и поскольку правосудия на нас нет - убить вполне вариант. Мы создаем серьёзные проблемы и фактически неуловимы. Сроки? 2 пожизненных.
Russian OSINT: Учитывая что за вами охотятся АНБ и ЦРУ, Tox или Jabber?
REvil: Свою сборку ОС, лично проверенную и скомпилированную (Gentoo например). Также и с софтом. Параноикам советую децентрализацию.
Russian OSINT: Monero по-прежнему спецслужбы не могут отследить?
REvil: Полагаю что да. Самый явный след - на биржах ее редко принимают ее большое количество вызывает вопросы. Поэтому монеро лишь транзитное платежное средство.
Russian OSINT: Занимаетесь ли вы благотворительностью? Например жертвуете в разные фонды открытого программного обеспечения, Tor Project, Electronic Frontier Foundation?
REvil: Возможно.
Russian OSINT: Как пишет Naked Security by Sophos: ваши излюбленные атаки входа в инфраструктуру компании это exploit kits, методки сканирования-эксплуатирования, RDP серверы, установочные файлы с backdoors. Какой вид атаки, по-вашему мнению, самый эффективный из вышеперечисленного?
REvil: Не знаю как попасть в инфраструктуру через связку эксплойтов, например RIG. Написано как-то неправильно. Самый лучший метод, лично для меня - поймать данные авторизации сисадмина-дрочера с обычного стиллера и получить полный доступ к MSP всей организации. Не из воздуха рассказываю - такое было на практике. Организация была серьёзная, выкуп с 6 нулями. А так RDP и эксплойты. Для очень важной цели - спам-рассылка с прозвоном.
Russian OSINT: Как вы думаете изменится рынок Ransomware в последующие 2-3 года? Какие глобальные движения или изменения будут на рынке?
REvil: Да. Все двигается в сторону слития файлов, а не их шифрования. Шифрование лишь приятное дополнение. Лично мне понравилась идея SunCrypt - ддос сайта и инфраструктуры, совместно с зашифрованными файлами и угрозой их публикации - очень сильное давление. Мы развиваем эту мысль.
Russian OSINT: Когда вы заработаете достаточно денег, как вы думаете, сможете остановиться в нужный момент? Или процесс связанный с большим риском и деньгами как наркотик, затягивает…..
REvil: Говоря о себе - давно пора бы остановиться. Денег хватит не на одну сотню лет. Но денег никогда не бывает много - их всегда бывает недостаточно.
Russian OSINT: Самый забавное резюме/автобиография, которое вам попадалось от кандитатов/партнеров за всё время своей работы...
REvil: Их на самом деле очень много. Самое среднее - скупаю дедики в шопе и хочу работать с вами. Редко на самом деле пишут действительно талантливые люди. Я думаю, все кто уже был, распределены по партнёркам. Поэтому и лично я думаю делать ставку на молодых. Давать им шанс проявить себя. А не проявит - конкурентов полно, спрос у нас всегда высокий - никто не в обиде.
Russian OSINT: Занимаясь тем чем вы занимаетесь, путешествовать возможно?
REvil: Невозможно - однозначно
Russian OSINT: Как распознать "Drovorubа", который хочет подружиться с вами? (сарказм в отношении названия руткита)
"АНБ выпустило предупреждение о шпионских операциях российской разведки (ГРУ) с использованием ранее не известного вредоносного инструментария для ОС на базе ядра Linux под названием «Дроворуб»"
REvil: Он очень настойчиво просит вторгнуться в твою сладкую систему с максимальными правами. Эгоист.
Russian OSINT: Опиши свою жизнь одним словом
REvil: Больше
Russian OSINT: Есть ли у вас сокровенная мечта?
REvil: Миллиард долларов. Затем 2 миллиарда. Если будет хорошее настроение - 5.
Russian OSINT: Где живете: на какой станции метро, улице, номер дома?
REvil: Никита Кувиков или Нариман Намазов. Что-то посередине их мест обитания.
Russian OSINT: Как ты докатился до такой жизни?
REvil: Один раз, когда я был маленький, установил членикс. И мне понравилось. Везде.
Russian OSINT: Что посоветуешь новичкам?
REvil: Чаще закусывать, а лучше запивать. Ну а если серьезно, учиться, читать, пробовать. Все получится, все реально.
