REvil header

REvil ransomware sviluppatori dicono che hanno fatto più di million 100 milioni in un anno estorcendo grandi imprese in tutto il mondo da vari settori.

Sono guidati dal profitto e vogliono fare billion 2 miliardi dal loro servizio ransomware, adottando le tendenze più redditizie nella loro ricerca della ricchezza.

Gli affiliati fanno il lavoro pesante

Un rappresentante di REvil che usa gli alias “UNKN” e “Unknown” nei forum criminali informatici ha parlato con il blog tecnologico Russian OSINT offrendo alcuni dettagli sull’attività del gruppo e suggerimenti su ciò che hanno in serbo per il futuro.

Come quasi tutte le bande ransomware oggi, REvil esegue un’operazione ransomware-as-a-service (RaaS). Secondo questo modello, gli sviluppatori forniscono malware di crittografia dei file agli affiliati, che guadagnano la parte del leone dal denaro estorto alle vittime.

Con REvil, gli sviluppatori prendono il 20-30% e il resto del riscatto pagato va agli affiliati, che gestiscono gli attacchi, rubano dati e fanno esplodere il ransomware sulle reti aziendali.

“La maggior parte del lavoro viene svolto dai distributori e il ransomware è solo uno strumento, quindi pensano che sia una divisione equa”, ha detto a Russian OSINT il rappresentante di REvil, Unknown.

Ciò significa che gli sviluppatori impostare l’importo del riscatto, eseguire i negoziati, e raccogliere il denaro che viene poi diviso con gli affiliati.

Lunga lista di vittime

L’operazione criminale informatico ha crittografato i computer di grandi aziende, tra cui Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole e GEDIA Automotive Group.

Unknown dice che gli affiliati REvil sono stati in grado di violare le reti di Travelex e GSMLaw in soli tre minuti sfruttando una vulnerabilità in Pulse Secure VPN lasciato senza patch per mesi dopo la correzione è diventato disponibile .

tweets
fonte: Pacchetti difettosi

Il rappresentante pubblico di REvil afferma che il sindacato ha colpito la rete di una “grande società di gioco” e presto annuncerà l’attacco.

Dicono anche che REvil è stato responsabile dell’attacco a settembre contro la banca pubblica del Cile, BancoEstado. L’incidente ha spinto la banca a chiudere tutte le sue filiali per un giorno, ma non ha influenzato l’online banking, le app e gli sportelli automatici.

Insieme ai fornitori di servizi gestiti (MSP) che hanno accesso a reti di più organizzazioni, gli obiettivi più redditizi per REvil sono le aziende nei settori assicurativo, legale e agricolo

Per quanto riguarda l’accesso iniziale, gli attacchi a forza bruta menzionati sconosciuti e il protocollo desktop remoto (RDP) combinato con nuove vulnerabilità.

Un esempio sono le vulnerabilità rilevate come bug CVE-2020-0609 e CVE-2020-0610 e note come BlueGate. Questi consentono l’esecuzione di codice remoto su sistemi che eseguono Windows Server (2012, 2012 R2, 2016 e 2019).

New money-making avenues

REvil inizialmente ha fatto il suo profitto dalle vittime pagando il riscatto per sbloccare file crittografati. Dal momento che gli aggressori hanno anche bloccato i server di backup, le vittime avevano poche opzioni per recuperare e pagare era il modo più rapido.

Il business ransomware cambiato l’anno scorso, quando gli operatori hanno visto l’opportunità di rubare dati da reti violate e ha iniziato a minacciare le vittime con perdite dannose che potrebbero avere un impatto molto peggiore sulla società.

Anche se richiede più tempo e causa una battuta d’arresto significativa, le grandi aziende possono recuperare i file crittografati dai backup offline. Avere dati sensibili nello spazio pubblico o venduti alle parti interessate, però, può essere sinonimo di perdere il vantaggio competitivo e danni alla reputazione che è difficile da ricostruire.

Questo metodo si è rivelato così redditizio che REvil ora guadagna più denaro dalla non pubblicazione di dati rubati che dal riscatto di decrittazione.

Sconosciuto dice che una vittima su tre sono attualmente disposti a pagare il riscatto per evitare la fuoriuscita di dati aziendali. Questo potrebbe essere il prossimo passo nel business ransomware.

REvil sta anche pensando di adottare un’altra tattica progettata per aumentare le loro probabilità di essere pagati: colpire la vittima con attacchi DDoS (Distributed Denial-of-Service)per costringerli ad almeno (ri) iniziare a negoziare un pagamento.

SunCrypt ransomware utilizzato questa tattica di recente su una società che aveva interrotto i negoziati. Gli aggressori hanno chiarito che hanno lanciato l’attacco DDoS e lo hanno terminato quando i negoziati sono ripresi. REvil prevede di implementare questa idea.

Il modello di REvil per fare soldi sta funzionando e la banda ha già molto nelle loro casse. Nella loro ricerca di nuovi affiliati, hanno depositato million 1 milioni in bitcoin su un forum di lingua russa.

Utente del forum

La mossa è stata progettata per dimostrare che il loro funzionamento genera un sacco di profitto. Secondo Unknown, questo passo è quello di reclutare nuovo sangue per distribuire il malware, come la scena ransomware è piena fino all’orlo di criminali informatici professionisti.

Sebbene abbiano camion carichi di denaro, gli sviluppatori di REvil sono confinati ai confini della regione del Commonwealth degli Stati Indipendenti (CSI, paesi dell’ex Unione Sovietica).

Una ragione per questo sta attaccando un gran numero di vittime di alto profilo che hanno spinto le indagini da parte delle forze dell’ordine di tutto il mondo. Come tale, viaggiare è un rischio REvil sviluppatori non sono disposti a prendere.

REvil costruito sul vecchio codice

Questo ransomware syndicate è indicato anche come Sodin o Sodinokibi, ma il nome REvil è ispirato al film Resident Evil e sta per Ransomware Male.

Il loro malware è stato avvistato per la prima volta ad aprile 2019 e il gruppo ha iniziato a cercare hacker esperti (penetration tester elite) poco dopo che GandCrab ransomware ha chiuso il negozio.

Sconosciuto dice che il gruppo non ha creato il malware file-crittografia da zero, ma ha acquistato il codice sorgente e sviluppato su di esso per renderlo più efficace.

Utilizza la crittografia a curva ellittica (ECC) che ha una dimensione della chiave più piccola rispetto al sistema a chiave pubblica basato su RSA, senza compromessi sulla sicurezza. Unknown dice che questo è uno dei motivi per cui gli affiliati scelgono REvil rispetto ad altre operazioni RaaS come Maze o LockBit.

Prima di chiudere la loro attività, gli sviluppatori GandCrab ha detto che hanno fatto million 150 milioni, mentre l’intera operazione ha raccolto più di billion 2 miliardi in pagamenti di riscatto.

Chiaramente, le ambizioni dello sviluppatore REvil sono maggiori.

BleepingComputer è stato detto che sconosciuto ha confermato che l’intervista (in russo) era reale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.