Encabezado REvil

Los desarrolladores de ransomware REvil dicen que ganaron más de 100 millones de dólares en un año extorsionando a grandes empresas de todo el mundo de varios sectores.

Están impulsados por las ganancias y quieren ganar 2 2 mil millones de su servicio de ransomware, adoptando las tendencias más lucrativas en su búsqueda de riqueza.

Los afiliados hacen el trabajo pesado

Un representante de REvil que usa los alias «UNKN» y «Unknown» en los foros de ciberdelincuentes habló con el blog tecnológico ruso OSINT ofreciendo algunos detalles sobre la actividad del grupo y sugerencias de lo que tienen reservado para el futuro.

Como casi todas las bandas de ransomware actuales, REvil ejecuta una operación de ransomware como servicio (RaaS). Según este modelo, los desarrolladores suministran malware de cifrado de archivos a los afiliados, que ganan la mayor parte del dinero extorsionado a las víctimas.

Con REvil, los desarrolladores se llevan el 20-30% y el resto del rescate pagado va a los afiliados, que ejecutan los ataques, roban datos y detonan el ransomware en redes corporativas.

«La mayor parte del trabajo lo realizan los distribuidores y el ransomware es solo una herramienta, por lo que piensan que es una división justa», dijo el representante de REvil, Desconocido, a la OSINT rusa.

Esto significa que los desarrolladores establecen el monto del rescate, ejecutan las negociaciones y recogen el dinero que luego se divide con los afiliados.

Larga lista de víctimas

La operación de ciberdelincuencia tiene computadoras cifradas en compañías de renombre, entre ellas Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Aeropuerto Internacional de Albany, Kenneth Cole y GEDIA Automotive Group.

Unknown dice que los afiliados de REvil pudieron violar las redes de Travelex y GSMLaw en solo tres minutos explotando una vulnerabilidad en Pulse Secure VPN que quedó sin parches durante meses después de que la solución estuviera disponible .

tweets
fuente: Paquetes defectuosos

El representante público de REvil dice que el sindicato ha golpeado la red de una «gran compañía de juegos» y pronto anunciará el ataque.

También dicen que REvil fue responsable del ataque en septiembre contra el banco público de Chile, BancoEstado. El incidente llevó al banco a cerrar todas sus sucursales durante un día, pero no afectó a la banca en línea, las aplicaciones y los cajeros automáticos.

Junto con los proveedores de servicios administrados (MSP) que tienen acceso a redes de múltiples organizaciones, los objetivos más rentables para REvil son las empresas de los sectores de seguros, legal y agrícola

En cuanto al acceso inicial, los ataques de fuerza bruta desconocidos mencionados, así como el protocolo de escritorio remoto (RDP) combinado con nuevas vulnerabilidades.

Un ejemplo son las vulnerabilidades rastreadas como errores CVE-2020-0609 y CVE-2020-0610 y conocidas como BlueGate. Permiten la ejecución remota de código en sistemas que ejecutan Windows Server (2012, 2012 R2, 2016 y 2019).

Nuevas vías para hacer dinero

REvil inicialmente se benefició de que las víctimas pagaran el rescate para desbloquear archivos cifrados. Dado que los atacantes también bloquearon los servidores de copia de seguridad, las víctimas tenían pocas opciones para recuperarse, y pagar era la forma más rápida.

El negocio del ransomware cambió el año pasado cuando los operadores vieron la oportunidad de robar datos de redes violadas y comenzaron a amenazar a las víctimas con fugas dañinas que podrían tener un impacto mucho peor en la empresa.

Incluso si lleva más tiempo y causa un contratiempo significativo, las grandes empresas pueden recuperar archivos cifrados de copias de seguridad sin conexión. Sin embargo, tener datos confidenciales en el espacio público o venderlos a partes interesadas puede ser sinónimo de perder la ventaja competitiva y el daño a la reputación que es difícil de reconstruir.

Este método resultó ser tan lucrativo que REvil ahora gana más dinero al no publicar datos robados que al rescate de descifrado.

Unknown dice que una de cada tres víctimas está actualmente dispuesta a pagar el rescate para evitar la filtración de datos de la empresa. Este podría ser el siguiente paso en el negocio del ransomware.

REvil también está pensando en adoptar otra táctica diseñada para aumentar sus probabilidades de recibir un pago: golpear a la víctima con ataques distribuidos de denegación de servicio (DDoS) para obligarla a al menos (re)comenzar a negociar un pago.

SunCrypt ransomware utilizó esta táctica recientemente en una empresa que había detenido las negociaciones. Los atacantes dejaron en claro que lanzaron el ataque DDoS y lo terminaron cuando se reanudaron las negociaciones. REvil planea implementar esta idea.

El modelo de REvil para ganar dinero está funcionando y la pandilla ya tiene mucho en sus arcas. En su búsqueda de nuevos afiliados, depositaron bitco 1 millón en bitcoins en un foro de habla rusa.

 Usuario del Foro

El movimiento fue diseñado para mostrar que su operación genera muchos beneficios. Según Unknown, este paso consiste en reclutar nueva sangre para distribuir el malware, ya que la escena del ransomware está llena de ciberdelincuentes profesionales.

Aunque tienen camiones cargados de dinero, los desarrolladores de REvil están confinados a las fronteras de la región de la Comunidad de Estados Independientes (CEI, países de la antigua Unión Soviética).

Una de las razones de esto es atacar a un gran número de víctimas de alto perfil que motivaron investigaciones de las agencias policiales de todo el mundo. Como tal, viajar es un riesgo que los desarrolladores de REvil no están dispuestos a tomar.

REvil construido sobre código anterior

Este sindicato de ransomware también se conoce como Sodin o Sodinokibi, pero el nombre REvil está inspirado en la película Resident Evil y significa Ransomware Evil.

Su malware se detectó por primera vez en abril de 2019 y el grupo comenzó a buscar hackers expertos (probadores de penetración de élite) poco después de que el ransomware GandCrab cerrara la tienda.

Unknown dice que el grupo no creó el malware de cifrado de archivos desde cero, sino que compró el código fuente y lo desarrolló para hacerlo más efectivo.

Utiliza criptografía de curva elíptica (ECC) que tiene un tamaño de clave más pequeño que el sistema de clave pública basado en RSA, sin comprometer la seguridad. Unknown dice que esta es una de las razones por las que los afiliados eligen REvil sobre otras operaciones RaaS como Maze o LockBit.

Antes de cerrar su negocio, los desarrolladores de GandCrab dijeron que ganaron $150 millones, mientras que toda la operación recaudó más de billion 2 mil millones en pagos de rescate.

Claramente, las ambiciones de los desarrolladores de REvil son mayores.

a BleepingComputer se le dijo que Unknown confirmó que la entrevista (en ruso) era real.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.