REvil fejléc

a REvil ransomware fejlesztői azt mondják, hogy egy év alatt több mint 100 millió dollárt kerestek azzal, hogy világszerte nagy vállalkozásokat zsaroltak ki különböző ágazatokból.

a profit hajtja őket, és 2 milliárd dollárt akarnak keresni a zsarolóprogram-szolgáltatásukból, átvéve a legjövedelmezőbb trendeket a gazdagságra való törekvésükben.

Affiliates do the heavy lifting

a REvil képviselője, aki az “UNKN” és “Unknown” álneveket használja a kiberbűnözői fórumokon, beszélt az orosz OSINT tech bloggal, amely néhány részletet kínál a csoport tevékenységéről és arról, hogy mit tartanak a jövőben.

mint szinte minden ransomware banda ma, a REvil egy ransomware-as-a-service (RaaS) műveletet futtat. Per ez a modell, a fejlesztők a kínálat fájl titkosítása malware leányvállalatok, akik keresni az oroszlánrészét a pénzt kicsikarni az áldozatok.

a REvil esetében a fejlesztők 20-30% – ot vesznek igénybe, és a fizetett váltságdíj fennmaradó része a leányvállalatokhoz kerül, akik a támadásokat futtatják, adatokat lopnak, és felrobbantják a ransomware-t a vállalati hálózatokon.

“a legtöbb munkát a disztribútorok végzik, a ransomware pedig csak egy eszköz, ezért úgy gondolják, hogy ez tisztességes megosztottság” – mondta a REvil ismeretlen képviselője az orosz OSINTNEK.

ez azt jelenti, hogy a fejlesztők beállítják a váltságdíj összegét, lefuttatják a tárgyalásokat, és összegyűjtik a pénzt, amelyet később megosztanak a leányvállalatokkal.

az áldozatok hosszú listája

a kiberbűnözői művelet titkosította a számítógépeket olyan nagynevű vállalatoknál, mint a Travelex, a Grubman Shire Meiselas & Sacks (GSMLaw), a Brown-Forman, a SeaChange International, a CyrusOne, az Artech Information Systems, az Albany International Airport, a Kenneth Cole és a GEDIA Automotive Group.

ismeretlen azt mondja, hogy a REvil leányvállalatai mindössze három perc alatt képesek voltak megsérteni a Travelex és a GSMLaw hálózatát a Pulse Secure VPN sebezhetőségének kihasználásával, amelyet a javítás elérhetővé válása után hónapokig nem javítottak .

tweets
forrás: rossz csomagok

REvil nyilvános képviselője azt mondja, hogy a szindikátus elérte a “nagy szerencsejáték-társaság” hálózatát, és hamarosan bejelenti a támadást.

azt is mondják, hogy REvil volt a felelős a szeptemberi támadásért Chile állami bankja, a BancoEstado ellen. Az incidens arra késztette a bankot, hogy egy napra bezárja az összes fiókját, de nem befolyásolta az online banki szolgáltatásokat, az alkalmazásokat és az ATM-eket.

a felügyelt szolgáltatók (MSP-k) mellett, amelyek több szervezet hálózataihoz férnek hozzá, a REvil számára a legjövedelmezőbb célpontok a biztosítási, jogi és mezőgazdasági ágazatokban működő vállalatok

ami a kezdeti hozzáférést illeti, az ismeretlen említett brute-force támadások, valamint a Távoli asztali protokoll (RDP) új sebezhetőségekkel kombinálva.

az egyik példa a CVE-2020-0609 és CVE-2020-0610 hibaként nyomon követett biztonsági rések, amelyek BlueGate néven ismertek. Ezek lehetővé teszik a távoli kódfuttatást a Windows Server rendszert futtató rendszereken (2012, 2012 R2, 2016 és 2019).

új pénzkereső utak

a REvil kezdetben abból profitált, hogy az áldozatok kifizették a váltságdíjat a titkosított fájlok feloldásához. Mivel a támadók biztonsági mentési szervereket is zároltak, az áldozatoknak kevés lehetőségük volt a helyreállításra, és a fizetés volt a leggyorsabb módszer.

a ransomware üzletág tavaly megváltozott, amikor az üzemeltetők lehetőséget láttak arra, hogy adatokat lopjanak el a megsértett hálózatokról, és olyan káros szivárgásokkal fenyegették meg az áldozatokat, amelyek sokkal rosszabb hatással lehetnek a vállalatra.

még ha hosszabb időt is vesz igénybe, és jelentős visszaesést okoz, a nagyvállalatok helyreállíthatják a titkosított fájlokat az offline biztonsági mentésekből. Az érzékeny adatok nyilvános térben való elhelyezése vagy az érdekelt feleknek történő eladása azonban egyet jelenthet a versenyelőny és a jó hírnév károsodásának elvesztésével, amelyet nehéz újjáépíteni.

ez a módszer annyira jövedelmezőnek bizonyult, hogy a REvil most több pénzt keres az ellopott adatok közzétételéből, mint a dekódolási váltságdíjból.

ismeretlen azt mondja, hogy minden harmadik áldozat hajlandó fizetni a váltságdíjat, hogy megakadályozza a vállalati adatok kiszivárogtatását. Ez lehet a következő lépés a ransomware üzletben.

a REvil egy másik taktikán is gondolkodik, amelynek célja a fizetés esélyeinek növelése: elosztott szolgáltatásmegtagadási (DDoS) támadásokkal ütni az áldozatot, hogy legalább (újra)elkezdjenek tárgyalni a fizetésről.

a SunCrypt ransomware ezt a taktikát használta a közelmúltban egy olyan cégnél, amely leállította a tárgyalásokat. A támadók világossá tették, hogy elindították a DDoS támadást, és a tárgyalások folytatásakor megszüntették. REvil azt tervezi, hogy megvalósítja ezt az ötletet.

REvil pénzszerzési modellje működik, és a bandának már rengeteg van a kasszájában. Új leányvállalatok keresése során 1 millió dollárt helyeztek el bitcoinokban egy orosz nyelvű fórumon.

fórum felhasználó

a lépés célja az volt, hogy azt mutatják, hogy a művelet generál sok profit. Ismeretlen szerint ez a lépés új vér toborzása a rosszindulatú programok terjesztésére, mivel a ransomware jelenet tele van professzionális számítógépes bűnözőkkel.

bár teherautónyi pénzük van, a REvil fejlesztői a Független Államok Közössége (fák, a volt Szovjetunió országai) régió határain korlátozódnak.

ennek oka a nagyszámú nagy horderejű áldozat megtámadása, amely a világ minden tájáról származó bűnüldöző szervek nyomozását váltotta ki. Mint ilyen, az utazás olyan kockázat, amelyet a fejlesztők nem hajlandók vállalni.

REvil régebbi kódra épült

ezt a ransomware szindikátust Sodin vagy Sodinokibi néven is emlegetik, de a REvil nevet a Resident Evil film ihlette, és a Ransomware Evil rövidítése.

malware-jüket először 2019 áprilisában észlelték, és a csoport nem sokkal azután, hogy a GandCrab ransomware bezárta az üzletet, elkezdte keresni a képzett hackereket (elite penetration testers).

ismeretlen azt mondja, hogy a csoport nem a semmiből hozta létre a fájlt titkosító rosszindulatú programot, hanem megvásárolta a forráskódot, és a tetején fejlesztette ki, hogy hatékonyabb legyen.

elliptikus görbe kriptográfiát (ECC) használ, amely kisebb kulcsmérettel rendelkezik, mint az RSA-alapú nyilvános kulcsú rendszer, a biztonság kompromisszuma nélkül. Ismeretlen azt mondja, hogy ez az egyik oka annak, hogy a leányvállalatok a REvil-t választják más RaaS-műveletek, például a Maze vagy a LockBit felett.

mielőtt bezárták volna üzletüket, a GandCrab fejlesztői azt mondták, hogy 150 millió dollárt kerestek, míg az egész művelet több mint 2 milliárd dollár váltságdíjat gyűjtött össze.

nyilvánvaló, hogy a REvil fejlesztői ambíciói nagyobbak.

BleepingComputer azt mondták, hogy ismeretlen megerősítette, hogy az interjú (oroszul) valódi volt.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.