הצצה נדירה לרווחים ולשיטות פעולה של ארגוני כופרה

"הרווחנו כ-100 מיליון דולר בשנת 2019", כך הצהיר מנהיג ה-REvil group, כנופיית האקרים ידועה לשמצה, בראיון נדיר שנערך בשבוע שעבר בערוץ היוטיוב “Russian OSINT”. הראיון חושף טפח מהעולם האפל של הארגון ופרטים על כמה מפעילויותיו המשמעותיות. באותה הזדמנות המנהיג מזהיר- "מתקפה גדולה בדרך והיא תהיה קשורה לחברה גדולה שמפתחת משחקי וידאו".

REvil group נושאת רזומה עשיר ומשמעותי הכולל את תקיפת מערכות המחשוב של החברות Shire Meiselas & Sacks, Travelex ושל 23 רשויות מקומיות במדינת טקסס. בנוסף לכך, המנהיג אישר בראיון שבמסגרת תקיפה שבוצעה נגד משרד עורכי הדין האמריקאי Grubman Shire Meiselas & Sacks נחשפו דרכי הפעולה של הנשיא טראמפ להתחמק מתשלום מס. "המידע נמכר" הוא מספר, אבל לא יכול לספר למי. 

"אמנם אנחנו עובדים בשיטת 'הסחיטה הכפולה', אבל עדיין, אנחנו כל הזמן משתפרים" כך מתאר המנהיג את אסטרטגיית הפעולה של REvil. "היעד האידאלי היום זה מתקפת כופרה המשלבת גניבת קבצים והצפנתם ובמקביל מתקפת Ddos על אתרי החברה, השילוב הזה יוצר לחץ עצום על מנהלי החברה". שליש מכלל הארגונים מנהלים משא ומתן על תשלום הכופרה כאשר היעדים המשתלמים ביותר לדבריו אלו ספקי שירותי מחשוב, חברות ביטוח ומשרדי עורכי-דין. 

 בראיון מתואר כיצד הכנופייה מפעילה מודל של "כופרה כשירות" (ransomware-as-a-service model ) לפיו ארגונים חיצוניים נותנים את שירותי התקיפה ו-REvil אמונה על ניהול המשא ומתן, קבלת הכספים ומסירת מפתחות ההצפנה לפתיחת נעילת הקבצים. לדבריו, החברה החיצונית שמבצעת את התקיפה זוכה ל70-80 אחוז מהרווח.

 "באופן אישי, הייתי צריך לפרוש מזמן, יש לי מספיק כסף למאה שנים, אבל כשמדובר בכסף, זה אף פעם לא מספיק", אמר האיש בראיון. לדבריו, הוא סגר ביזמתו ארגונים משמעותיים שניהל כדי לפנות דרך ל"מוצרים טובים יותר" שפיתח. נראה שהדברים נוגעים לסגירה של הארגון GandCrab אשר בשנת 2019 התרברב ברווחים של 2 מיליארד דולר בשנה וחצי, אולם המראיין אינו מאשר זאת.

מנהיג הארגון מספר על הפחדים שטמונים בפעילות מהסוג הזה. לדבריו מי שמעורב בפעילות ransomware לעולם לא יטוס לארה"ב או מדינה מערבית אחרת, מחשש שייהרג. לדידו, סוכנויות הביטחון בארה"ב ובאירופה מנהלות אחריהם מצוד, אולם הוא מתרברב בכך שניסיונותיהם נכשלים, זאת מאחר שהמערכות שלהם מוכנות. מקור: Threatpost.com (מאת טרה סילס).