REvil header

REvil ransomware-kiristysohjelmien kehittäjät sanovat tienanneensa vuodessa yli 100 miljoonaa dollaria kiristämällä suuryrityksiä eri aloilta ympäri maailmaa.

heitä ajaa voitto ja he haluavat ansaita 2 miljardia dollaria ransomware-palvelullaan, omaksuen tuottoisimmat trendit varallisuuden tavoittelussa.

Affiliates do the heavy lifting

a REvil representative that uses the salanimet ”UNKN” and ”Unknown” on cybercriminal forums talk to tech blog Russian OSINT offering some details about the group ’ s activity and tips of what they have in storage for future.

kuten lähes kaikki ransomware-jengit nykyään, REvil käyttää ransomware-as-a-service (RaaS) – toimintoa. Tämän mallin mukaan kehittäjät toimittavat tiedostoja salaavia haittaohjelmia tytäryhtiöille, jotka ansaitsevat leijonanosan uhreilta kiristetyistä rahoista.

revilin avulla kehittäjät ottavat 20-30% ja loput maksetuista lunnaista menevät tytäryhtiöille, jotka suorittavat hyökkäyksiä, varastavat tietoja ja räjäyttävät ransomware-viruksen yritysverkoissa.

”suurimman osan työstä tekevät jakelijat ja kiristyshaittaohjelma on vain työkalu, joten heidän mielestään se on reilu jako”, tuntemattoman Revilin edustaja kertoi venäläiselle OSINTILLE.

tämä tarkoittaa sitä, että kehittäjät asettavat lunnassumman, hoitavat neuvottelut ja keräävät rahat, jotka myöhemmin jaetaan tytäryhtiöiden kanssa.

pitkä lista uhreista

kyberrikosoperaatiossa on salattuja tietokoneita suurilta nimekkäiltä yhtiöiltä, muun muassa Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, Seachange International, CyrusOne, Artech Information Systems, Albanyn Kansainvälinen Lentoasema, Kenneth Cole ja GEDIA Automotive Group.

tuntematon kertoo, että Revilin tytäryhtiöt pystyivät murtautumaan Travelexin ja GSMLaw ’ n verkkoihin vain kolmessa minuutissa hyödyntämällä Pulse Secure VPN: n haavoittuvuutta, joka jätettiin lähettämättä kuukausia korjauksen tultua saataville .

twiitit
lähde: huonot paketit

Revilin julkisuudesta tuttu edustaja sanoo, että syndikaatti on iskenyt ”suuren peliyhtiön” verkkoon ja ilmoittaa pian iskusta.

he sanovat myös, että REvil oli vastuussa syyskuussa Chilen julkista pankkia Bancoestadoa vastaan tehdystä iskusta. Tapaus sai pankin sulkemaan kaikki konttorinsa päiväksi, mutta se ei vaikuttanut verkkopankkiin, sovelluksiin eikä pankkiautomaatteihin.

yhdessä hallinnoitujen palvelujen tarjoajien (MSPs) kanssa, joilla on pääsy useiden organisaatioiden verkkoihin, kannattavimpia kohteita Revilille ovat vakuutus -, Lakiasiain-ja maataloussektorin yritykset

kuten initial access, tuntematon mainittu brute-force-hyökkäykset sekä remote desktop protocol (RDP) yhdistettynä uusiin haavoittuvuuksiin.

yksi esimerkki ovat haavoittuvuudet, joita seurataan CVE-2020-0609-ja CVE-2020-0610-bugeina ja tunnetaan nimellä BlueGate. Nämä mahdollistavat koodin etätoteutuksen Windows Server – järjestelmissä (2012, 2012 R2, 2016 ja 2019).

uusia rahantekoväyliä

REvil sai aluksi voittoa uhreista, jotka maksoivat lunnaat salattujen tiedostojen avaamisesta. Koska hyökkääjät lukitsivat myös varapalvelimet, uhreilla ei ollut juurikaan vaihtoehtoja toipua, ja maksaminen oli nopein tapa.

ransomware-liiketoiminta muuttui viime vuonna, kun operaattorit näkivät mahdollisuuden varastaa tietoja murtuneista verkoista ja alkoivat uhkailla uhreja vahingollisilla vuodoilla, joilla voisi olla paljon pahempi vaikutus yhtiöön.

vaikka se kestäisi kauemmin ja aiheuttaisi merkittävän takaiskun, suuryritykset voivat palauttaa salattuja tiedostoja offline-varmuuskopioista. Arkaluonteisten tietojen saaminen julkiseen tilaan tai myyminen asianomaisille osapuolille voi kuitenkin merkitä sitä, että kilpailuetu ja mainevahingot menetetään ja niitä on vaikea rakentaa uudelleen.

tämä menetelmä osoittautui niin tuottoisaksi, että REvil tienaa nyt enemmän jättämällä varastetun tiedon julkaisematta kuin purkamalla lunnaita.

tuntematon kertoo, että joka kolmas uhri on tällä hetkellä valmis maksamaan lunnaat estääkseen yrityksen tietojen vuotamisen. Tämä voi olla seuraava askel ransomware-bisneksessä.

REvil aikoo myös ottaa käyttöön toisen taktiikan, jonka tarkoituksena on lisätä heidän mahdollisuuksiaan saada maksu: lyödä uhria hajautetuilla palvelunestohyökkäyksillä pakottaakseen heidät ainakin (uudelleen) aloittamaan neuvottelut maksusta.

SunCrypt ransomware käytti tätä taktiikkaa äskettäin yritykseen, joka oli lopettanut neuvottelut. Hyökkääjät tekivät selväksi, että he käynnistivät DDoS-hyökkäyksen ja lopettivat sen, kun neuvotteluja jatkettiin. REvil aikoo toteuttaa tämän idean.

Revilin malli rahantekoon toimii ja jengillä riittää jo rahakirstuissaan. Etsiessään uusia tytäryhtiöitä he tallettivat miljoona dollaria bitcoineina venäjänkieliselle foorumille.

foorumin käyttäjä

muuton tarkoituksena oli osoittaa, että heidän toimintansa tuottaa runsaasti voittoa. Unknown – sivuston mukaan tämä vaihe on värvätä uutta verta haittaohjelman levittämiseen, sillä ransomware-kohtaus on täynnä ammattimaisia verkkorikollisia.

vaikka heillä on rekkalasteittain rahaa, Revilin Kehittäjät rajoittuvat Itsenäisten valtioiden yhteisön (IVY, entisen Neuvostoliiton alueen maat) rajoille.

syynä tähän on hyökkäys suurta joukkoa korkean profiilin uhreja vastaan, mikä sai aikaan tutkimuksia lainvalvontaviranomaisilta ympäri maailmaa. Sellaisenaan, matkustaminen on riski REvil kehittäjät eivät ole valmiita ottamaan.

REvil perustuu vanhempaan koodiin

tätä ransomware-syndikaattia kutsutaan myös nimellä Sodin tai Sodinokibi, mutta nimi REvil on saanut innoituksensa Resident Evil-elokuvasta ja tulee sanoista Ransomware Evil.

heidän haittaohjelmansa havaittiin ensimmäisen kerran huhtikuussa 2019 ja ryhmä alkoi etsiä taitavia hakkereita (Elite penetration testaajia) pian sen jälkeen, kun GandCrab ransomware sulki kauppansa.

tuntematon kertoo, että ryhmä ei luonut tiedostoja salaavaa haittaohjelmaa tyhjästä, vaan osti lähdekoodin ja kehitti sen päälle tehostaakseen sitä.

se käyttää ellipsinmuotoista käyräsalausta (ECC), jonka avaimen koko on pienempi kuin RSA-pohjaisen julkisen avaimen järjestelmän, eikä tietoturvasta tingitä. Unknown kertoo, että tämä on yksi syy siihen, että tytäryhtiöt valitsevat Revilin muiden RaaS-toimintojen, kuten Mazen tai Lockbitin, sijaan.

ennen liiketoimintansa lopettamista Gandcrabin kehittäjät sanoivat tienaavansa 150 miljoonaa dollaria, kun koko operaatio keräsi yli 2 miljardin dollarin lunnaat.

selvästi Revilin kehittäjän tavoitteet ovat suurempia.

Bleepingcomputerille kerrottiin, että tuntematon vahvisti haastattelun (venäjäksi) todeksi.

Vastaa

Sähköpostiosoitettasi ei julkaista.