REvil header

twórcy REvil ransomware twierdzą, że w ciągu roku zarobili ponad 100 milionów dolarów, wymuszając duże firmy z różnych sektorów na całym świecie.

kierują się zyskiem i chcą zarobić 2 miliardy dolarów na swojej usłudze ransomware, przyjmując najbardziej lukratywne trendy w dążeniu do bogactwa.

filie wykonują ciężkie roboty

przedstawiciel REvil, który używa aliasów „UNKN” i „Unkn” na forach cyberprzestępców, rozmawiał z blogiem technicznym Russian OSINT, oferując szczegóły dotyczące działalności grupy i wskazówki, co mają w planach na przyszłość.

jak prawie wszystkie dzisiejsze gangi ransomware, REvil uruchamia operację ransomware-as-a-service (RaaS). W tym modelu Programiści dostarczają złośliwe oprogramowanie do szyfrowania plików partnerom, którzy zarabiają lwią część z pieniędzy wyłudzonych od ofiar.

dzięki REvil deweloperzy biorą 20-30%, a reszta zapłaconego okupu trafia do oddziałów, które przeprowadzają ataki, kradną dane i detonują oprogramowanie ransomware w sieciach korporacyjnych.

„większość prac jest wykonywana przez dystrybutorów, a ransomware to tylko narzędzie, więc uważają, że to sprawiedliwy podział”, powiedział przedstawiciel REvil, nieznany, rosyjski OSINT.

oznacza to, że deweloperzy ustalają kwotę okupu, prowadzą negocjacje i zbierają pieniądze, które są później dzielone z partnerami.

długa lista ofiar

cyberprzestępca zaszyfrował komputery w znanych firmach, wśród nich Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, Seachange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole i Gedia Automotive Group.

Unknown mówi, że podmioty stowarzyszone REvil były w stanie naruszyć sieci Travelex i GSMLaw w ciągu zaledwie trzech minut, wykorzystując lukę w Pulse Secure VPN, która nie miała sobie równych przez miesiące po udostępnieniu poprawki .

tweety
źródło: Bad Packets

przedstawiciel REvil mówi, że syndykat uderzył w sieć „dużej firmy zajmującej się grami” i wkrótce ogłosi atak.

mówią również, że REvil był odpowiedzialny za atak we wrześniu na publiczny Bank Chile, BancoEstado. Incydent skłonił bank do zamknięcia wszystkich oddziałów na jeden dzień, ale nie wpłynął na bankowość internetową, aplikacje i bankomaty.

wraz z dostawcami usług zarządzanych (MSP), którzy mają dostęp do sieci wielu organizacji, najbardziej dochodowymi celami REvil są firmy z sektora ubezpieczeniowego, prawnego i rolniczego

jeśli chodzi o wstępny dostęp, nieznane wymienione ataki brute-force, a także protokół zdalnego pulpitu (RDP) w połączeniu z nowymi lukami w zabezpieczeniach.

jednym z przykładów są luki śledzone jako błędy CVE-2020-0609 i CVE-2020-0610 i znane jako BlueGate. Umożliwiają one zdalne wykonywanie kodu w systemach z systemem Windows Server (2012, 2012 R2, 2016 i 2019).

nowe sposoby zarabiania pieniędzy

REvil początkowo zarabiał na ofiarach płacących okup za odblokowanie zaszyfrowanych plików. Ponieważ atakujący zablokowali również serwery kopii zapasowych, ofiary miały niewiele możliwości odzyskania, a płatność była najszybszym sposobem.

działalność związana z oprogramowaniem ransomware zmieniła się w zeszłym roku, gdy operatorzy dostrzegli okazję do kradzieży danych z naruszonych sieci i zaczęli grozić ofiarom szkodliwymi wyciekami, które mogą mieć znacznie gorszy wpływ na firmę.

nawet jeśli trwa to dłużej i powoduje znaczne niepowodzenie, duże firmy mogą odzyskać zaszyfrowane pliki z kopii zapasowych offline. Posiadanie wrażliwych danych w przestrzeni publicznej lub ich sprzedaż zainteresowanym stronom może być równoznaczne z utratą przewagi konkurencyjnej i uszkodzeniem reputacji, które trudno odbudować.

ta metoda okazała się tak lukratywna, że REvil zarabia teraz więcej na nie publikowaniu skradzionych danych niż na odszyfrowaniu okupu.

nieznany mówi, że co trzecia ofiara jest obecnie gotowa zapłacić okup, aby zapobiec wyciekowi danych firmy. To może być kolejny krok w branży oprogramowania ransomware.

REvil również myśli o przyjęciu innej taktyki mającej na celu zwiększenie szans na otrzymanie zapłaty: uderzanie ofiary atakami DDoS (distributed denial-of-service), aby zmusić ich do przynajmniej (ponownego)rozpoczęcia negocjacji płatności.

SunCrypt ransomware wykorzystał tę taktykę ostatnio na firmie, która przerwała negocjacje. Napastnicy jasno stwierdzili, że rozpoczęli atak DDoS i zakończyli go po wznowieniu negocjacji. REvil planuje zrealizować ten pomysł.

model Revila do zarabiania pieniędzy działa, a gang ma już sporo w kasie. W poszukiwaniu nowych oddziałów, zdeponowali $1 milion w bitcoinach na rosyjskojęzycznym forum.

użytkownik Forum

ruch został zaprojektowany, aby pokazać, że ich działanie generuje duży zysk. Według Unknown, ten krok polega na pozyskaniu nowej krwi do dystrybucji złośliwego oprogramowania, ponieważ scena ransomware jest pełna profesjonalnych cyberprzestępców.

mimo, że mają ciężarówkę pieniędzy, deweloperzy REvil ograniczają się do granic Wspólnoty Niepodległych Państw (WNP, kraje byłego Związku Radzieckiego).

powodem tego jest atakowanie dużej liczby głośnych ofiar, które wywołały dochodzenia od organów ścigania z całego świata. W związku z tym podróżowanie jest ryzykiem, którego deweloperzy nie są skłonni podjąć.

REvil zbudowany na starszym kodzie

ten syndykat ransomware jest również określany jako Sodin lub Sodinokibi, ale nazwa REvil jest zainspirowana filmem Resident Evil i oznacza zło Ransomware.

ich złośliwe oprogramowanie zostało po raz pierwszy zauważone w kwietniu 2019 roku, a grupa zaczęła szukać wykwalifikowanych hakerów (elitarnych testerów penetracyjnych) krótko po tym, jak GandCrab ransomware zamknął sklep.

Unknown mówi, że grupa nie stworzyła złośliwego oprogramowania szyfrującego pliki od zera, ale kupiła kod źródłowy i rozwinęła go, aby był bardziej skuteczny.

wykorzystuje kryptografię krzywej eliptycznej (ECC), która ma mniejszy rozmiar klucza niż system kluczy publicznych oparty na RSA, bez kompromisów w zakresie bezpieczeństwa. Unknown mówi, że jest to jeden z powodów, dla których partnerzy wybierają REvil zamiast innych operacji RaaS, takich jak Maze lub LockBit.

zanim zamknęli swoją działalność, deweloperzy GandCrab powiedzieli, że zarobili 150 milionów dolarów, podczas gdy cała operacja zebrała ponad 2 miliardy dolarów w płatnościach okupu.

najwyraźniej ambicje dewelopera REvil są większe.

Bleepingkomputer powiedziano, że Nieznany potwierdził, że wywiad (w języku rosyjskim) był prawdziwy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.