REvil header

REvil ransomware ontwikkelaars zeggen dat ze meer dan $100 miljoen in één jaar door het afpersen van grote bedrijven over de hele wereld uit verschillende sectoren.

ze worden gedreven door winst en willen $ 2 miljard verdienen met hun ransomware-service, waarbij ze de meest lucratieve trends volgen in hun streven naar rijkdom.

Affiliates doen het zware werk

een vertegenwoordiger van REvil die de aliassen “UNKN” en “Unknown” gebruikt op cybercrimineel forums sprak met tech blog Russian OSINT met een aantal details over de activiteiten van de groep en tips over wat ze in petto hebben voor de toekomst.

net als bijna alle ransomware-bendes van vandaag, voert REvil een ransomware-as-a-service (RaaS) operatie uit. Per dit model, ontwikkelaars leveren bestand versleutelen van malware aan affiliates, die het leeuwendeel te verdienen van het geld afgeperst van slachtoffers.

met REvil nemen de ontwikkelaars 20-30% en de rest van het betaalde losgeld gaat naar affiliates, die de aanvallen uitvoeren, data stelen en de ransomware op bedrijfsnetwerken laten ontploffen.

“het meeste werk wordt gedaan door distributeurs en ransomware is slechts een hulpmiddel, dus ze denken dat is een eerlijke splitsing,” REvil vertegenwoordiger, onbekend, vertelde Russische OSINT.

dit betekent dat de ontwikkelaars het losgeld instellen, de onderhandelingen voeren en het geld verzamelen dat later wordt gesplitst met affiliates.De cybercrimineel operatie heeft versleutelde computers bij grote bedrijven, waaronder Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole en GEDIA Automotive Group.Unknown zegt dat REvil affiliates in staat waren om de netwerken van Travelex en GSMLaw binnen slechts drie minuten te doorbreken door gebruik te maken van een kwetsbaarheid in Pulse Secure VPN die maanden ongepatcht bleef nadat de oplossing beschikbaar was .

tweets
bron: ongeldige pakketten

REvil ‘ s publieke vertegenwoordiger zegt dat het syndicaat het netwerk van een “grote gaming bedrijf” heeft geraakt en zal binnenkort de aanval aan te kondigen.Ze zeggen ook dat REvil verantwoordelijk was voor de aanslag in September op de openbare bank van Chili, BancoEstado. Het incident vroeg de bank om al haar filialen te sluiten voor een dag, maar had geen invloed op online bankieren, apps, en geldautomaten.

samen met managed services providers (MSP ‘ s) die toegang hebben tot netwerken van meerdere organisaties, zijn de meest winstgevende doelen voor REvil bedrijven in de verzekerings -, juridische en landbouwsectoren

wat betreft initiële toegang, Onbekende genoemde brute-force aanvallen en remote desktop protocol (RDP) gecombineerd met nieuwe kwetsbaarheden.

een voorbeeld zijn kwetsbaarheden gevolgd als CVE-2020-0609 en CVE-2020-0610 bugs en bekend als BlueGate. Hiermee kunt u externe code uitvoeren op systemen met Windows Server (2012, 2012 R2, 2016 en 2019).

nieuwe manieren om geld te verdienen

REvil maakte in eerste instantie winst van slachtoffers die het losgeld betaalden om versleutelde bestanden te ontgrendelen. Omdat de aanvallers ook vergrendeld back-up servers, slachtoffers had weinig opties om te herstellen, en betalen was de snelste manier.

de ransomware-activiteiten veranderden vorig jaar toen operators de mogelijkheid zagen om gegevens van geschonden netwerken te stelen en de slachtoffers begonnen te bedreigen met schadelijke lekken die een veel grotere impact op het bedrijf zouden kunnen hebben.

zelfs als het langer duurt en een aanzienlijke tegenslag veroorzaakt, kunnen grote bedrijven versleutelde bestanden herstellen van offline back-ups. Het hebben van gevoelige gegevens in de openbare ruimte of verkocht aan geïnteresseerde partijen, kan echter synoniem zijn met het verlies van het concurrentievoordeel en reputatieschade die moeilijk te herstellen is.

deze methode bleek zo lucratief dat REvil nu meer geld verdient met het niet publiceren van gestolen gegevens dan met decryptie ransom.Unknown zegt dat één op de drie slachtoffers momenteel bereid is het losgeld te betalen om het lekken van bedrijfsgegevens te voorkomen. Dit zou de volgende stap in de ransomware bedrijf.

REvil denkt ook aan een andere tactiek om hun kansen om betaald te krijgen te vergroten: het slachtoffer slaan met distributed denial-of-service (DDoS) aanvallen om hen te dwingen om ten minste (opnieuw)te beginnen met onderhandelen over een betaling.

SunCrypt ransomware gebruikte deze tactiek onlangs op een bedrijf dat de onderhandelingen had gestopt. De aanvallers maakte duidelijk dat ze de DDoS-aanval gestart en beëindigd toen de onderhandelingen hervat. REvil is van plan om dit idee uit te voeren.

REvil ‘ s model voor het maken van geld werkt en de bende heeft al genoeg in hun schatkist. In hun zoektocht naar nieuwe filialen, ze gestort $1 miljoen in bitcoins op een Russisch sprekende forum.

forumgebruiker

de verhuizing werd ontworpen om te laten zien dat hun werking genereert veel winst. Volgens onbekend, deze stap is om nieuw bloed te werven om de malware te verspreiden, als de ransomware scène is vol tot de rand van professionele cybercriminelen.

hoewel ze veel geld hebben, blijven de ontwikkelaars van REvil beperkt tot de grenzen van het Gemenebest van Onafhankelijke Staten (GOS, landen in de voormalige Sovjet-Unie).

een reden hiervoor is het aanvallen van een groot aantal spraakmakende slachtoffers die aanleiding gaven tot onderzoeken van wetshandhavingsinstanties uit de hele wereld. Als zodanig, reizen is een risico REvil ontwikkelaars zijn niet bereid te nemen.

REvil gebouwd op oudere code

dit ransomware syndicaat wordt ook wel Sodin of Sodinokibi genoemd, maar de naam REvil is geïnspireerd door de Resident Evil film en staat voor Ransomware Evil.

hun malware werd voor het eerst gespot in April 2019 en de groep begon op zoek naar ervaren hackers (elite penetration testers) kort na GandCrab ransomware gesloten winkel.

Unknown zegt dat de groep het bestand-encryptie van malware niet vanuit het niets heeft gemaakt, maar de broncode heeft gekocht en er bovenop heeft ontwikkeld om het effectiever te maken.

het maakt gebruik van ECC (elliptic curve cryptography) dat een kleinere sleutelgrootte heeft dan het RSA-gebaseerde publieke-sleutelsysteem, zonder concessies te doen aan de beveiliging. Onbekend zegt dat dit is een reden affiliates kiezen REvil boven andere raas operaties zoals doolhof of LockBit.Voordat GandCrab hun bedrijf sloot, zeiden ontwikkelaars dat ze 150 miljoen dollar hadden verdiend, terwijl de hele operatie meer dan 2 miljard dollar aan losgeld verzamelde.

de ambities van REvil-ontwikkelaars zijn duidelijk groter.

BleepingComputer werd verteld dat onbekend bevestigde dat het interview (in het Russisch) echt was.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.