a REvil ransomware fejlesztői azt mondják, hogy egy év alatt több mint 100 millió dollárt kerestek azzal, hogy világszerte nagy vállalkozásokat zsaroltak ki különböző ágazatokból.
a profit hajtja őket, és 2 milliárd dollárt akarnak keresni a zsarolóprogram-szolgáltatásukból, átvéve a legjövedelmezőbb trendeket a gazdagságra való törekvésükben.
Affiliates do the heavy lifting
a REvil képviselője, aki az “UNKN” és “Unknown” álneveket használja a kiberbűnözői fórumokon, beszélt az orosz OSINT tech bloggal, amely néhány részletet kínál a csoport tevékenységéről és arról, hogy mit tartanak a jövőben.
mint szinte minden ransomware banda ma, a REvil egy ransomware-as-a-service (RaaS) műveletet futtat. Per ez a modell, a fejlesztők a kínálat fájl titkosítása malware leányvállalatok, akik keresni az oroszlánrészét a pénzt kicsikarni az áldozatok.
a REvil esetében a fejlesztők 20-30% – ot vesznek igénybe, és a fizetett váltságdíj fennmaradó része a leányvállalatokhoz kerül, akik a támadásokat futtatják, adatokat lopnak, és felrobbantják a ransomware-t a vállalati hálózatokon.
“a legtöbb munkát a disztribútorok végzik, a ransomware pedig csak egy eszköz, ezért úgy gondolják, hogy ez tisztességes megosztottság” – mondta a REvil ismeretlen képviselője az orosz OSINTNEK.
ez azt jelenti, hogy a fejlesztők beállítják a váltságdíj összegét, lefuttatják a tárgyalásokat, és összegyűjtik a pénzt, amelyet később megosztanak a leányvállalatokkal.
az áldozatok hosszú listája
a kiberbűnözői művelet titkosította a számítógépeket olyan nagynevű vállalatoknál, mint a Travelex, a Grubman Shire Meiselas & Sacks (GSMLaw), a Brown-Forman, a SeaChange International, a CyrusOne, az Artech Information Systems, az Albany International Airport, a Kenneth Cole és a GEDIA Automotive Group.
ismeretlen azt mondja, hogy a REvil leányvállalatai mindössze három perc alatt képesek voltak megsérteni a Travelex és a GSMLaw hálózatát a Pulse Secure VPN sebezhetőségének kihasználásával, amelyet a javítás elérhetővé válása után hónapokig nem javítottak .
/REvil-PulseSecure_Grub_Trav.jpg)
REvil nyilvános képviselője azt mondja, hogy a szindikátus elérte a “nagy szerencsejáték-társaság” hálózatát, és hamarosan bejelenti a támadást.
azt is mondják, hogy REvil volt a felelős a szeptemberi támadásért Chile állami bankja, a BancoEstado ellen. Az incidens arra késztette a bankot, hogy egy napra bezárja az összes fiókját, de nem befolyásolta az online banki szolgáltatásokat, az alkalmazásokat és az ATM-eket.
a felügyelt szolgáltatók (MSP-k) mellett, amelyek több szervezet hálózataihoz férnek hozzá, a REvil számára a legjövedelmezőbb célpontok a biztosítási, jogi és mezőgazdasági ágazatokban működő vállalatok
ami a kezdeti hozzáférést illeti, az ismeretlen említett brute-force támadások, valamint a Távoli asztali protokoll (RDP) új sebezhetőségekkel kombinálva.
az egyik példa a CVE-2020-0609 és CVE-2020-0610 hibaként nyomon követett biztonsági rések, amelyek BlueGate néven ismertek. Ezek lehetővé teszik a távoli kódfuttatást a Windows Server rendszert futtató rendszereken (2012, 2012 R2, 2016 és 2019).
új pénzkereső utak
a REvil kezdetben abból profitált, hogy az áldozatok kifizették a váltságdíjat a titkosított fájlok feloldásához. Mivel a támadók biztonsági mentési szervereket is zároltak, az áldozatoknak kevés lehetőségük volt a helyreállításra, és a fizetés volt a leggyorsabb módszer.
a ransomware üzletág tavaly megváltozott, amikor az üzemeltetők lehetőséget láttak arra, hogy adatokat lopjanak el a megsértett hálózatokról, és olyan káros szivárgásokkal fenyegették meg az áldozatokat, amelyek sokkal rosszabb hatással lehetnek a vállalatra.
még ha hosszabb időt is vesz igénybe, és jelentős visszaesést okoz, a nagyvállalatok helyreállíthatják a titkosított fájlokat az offline biztonsági mentésekből. Az érzékeny adatok nyilvános térben való elhelyezése vagy az érdekelt feleknek történő eladása azonban egyet jelenthet a versenyelőny és a jó hírnév károsodásának elvesztésével, amelyet nehéz újjáépíteni.
ez a módszer annyira jövedelmezőnek bizonyult, hogy a REvil most több pénzt keres az ellopott adatok közzétételéből, mint a dekódolási váltságdíjból.
ismeretlen azt mondja, hogy minden harmadik áldozat hajlandó fizetni a váltságdíjat, hogy megakadályozza a vállalati adatok kiszivárogtatását. Ez lehet a következő lépés a ransomware üzletben.
a REvil egy másik taktikán is gondolkodik, amelynek célja a fizetés esélyeinek növelése: elosztott szolgáltatásmegtagadási (DDoS) támadásokkal ütni az áldozatot, hogy legalább (újra)elkezdjenek tárgyalni a fizetésről.
a SunCrypt ransomware ezt a taktikát használta a közelmúltban egy olyan cégnél, amely leállította a tárgyalásokat. A támadók világossá tették, hogy elindították a DDoS támadást, és a tárgyalások folytatásakor megszüntették. REvil azt tervezi, hogy megvalósítja ezt az ötletet.
REvil pénzszerzési modellje működik, és a bandának már rengeteg van a kasszájában. Új leányvállalatok keresése során 1 millió dollárt helyeztek el bitcoinokban egy orosz nyelvű fórumon.
a lépés célja az volt, hogy azt mutatják, hogy a művelet generál sok profit. Ismeretlen szerint ez a lépés új vér toborzása a rosszindulatú programok terjesztésére, mivel a ransomware jelenet tele van professzionális számítógépes bűnözőkkel.
bár teherautónyi pénzük van, a REvil fejlesztői a Független Államok Közössége (fák, a volt Szovjetunió országai) régió határain korlátozódnak.
ennek oka a nagyszámú nagy horderejű áldozat megtámadása, amely a világ minden tájáról származó bűnüldöző szervek nyomozását váltotta ki. Mint ilyen, az utazás olyan kockázat, amelyet a fejlesztők nem hajlandók vállalni.
REvil régebbi kódra épült
ezt a ransomware szindikátust Sodin vagy Sodinokibi néven is emlegetik, de a REvil nevet a Resident Evil film ihlette, és a Ransomware Evil rövidítése.
malware-jüket először 2019 áprilisában észlelték, és a csoport nem sokkal azután, hogy a GandCrab ransomware bezárta az üzletet, elkezdte keresni a képzett hackereket (elite penetration testers).
ismeretlen azt mondja, hogy a csoport nem a semmiből hozta létre a fájlt titkosító rosszindulatú programot, hanem megvásárolta a forráskódot, és a tetején fejlesztette ki, hogy hatékonyabb legyen.
elliptikus görbe kriptográfiát (ECC) használ, amely kisebb kulcsmérettel rendelkezik, mint az RSA-alapú nyilvános kulcsú rendszer, a biztonság kompromisszuma nélkül. Ismeretlen azt mondja, hogy ez az egyik oka annak, hogy a leányvállalatok a REvil-t választják más RaaS-műveletek, például a Maze vagy a LockBit felett.
mielőtt bezárták volna üzletüket, a GandCrab fejlesztői azt mondták, hogy 150 millió dollárt kerestek, míg az egész művelet több mint 2 milliárd dollár váltságdíjat gyűjtött össze.
nyilvánvaló, hogy a REvil fejlesztői ambíciói nagyobbak.
BleepingComputer azt mondták, hogy ismeretlen megerősítette, hogy az interjú (oroszul) valódi volt.