REvil cabeçalho

REvil ransomware desenvolvedores dizem que eles fizeram mais de us $100 milhões em um ano por extorquir grandes empresas em todo o mundo de diversos setores.

eles são movidos pelo lucro e querem fazer US $2 bilhões de seu serviço ransomware, adotando as tendências mais lucrativas em sua busca de riqueza.

Afiliadas fazer o trabalho pesado

Um REvil representante que usa os aliases “UNKN” e “Desconhecido” em cibercriminoso fóruns falou ao blog de tecnologia russa OSINT oferecendo alguns detalhes sobre a atividade do grupo e dicas de o que eles têm na loja para o futuro.Como quase todas as gangues de ransomware de hoje, REvil dirige uma operação de ransomware-as-a-service (RaaS). Por este modelo, os desenvolvedores fornecem malware criptografado para as Afiliadas, que ganham a parte de leão do dinheiro extorquido das vítimas.

com REvil, os desenvolvedores tomam 20-30% e o resto do resgate pago vai para as Afiliadas, que executam os ataques, roubam dados e detonam o ransomware em redes corporativas.

“a maioria do trabalho é feito por distribuidores e ransomware é apenas uma ferramenta, então eles acham que é uma divisão justa”, disse o representante REvil, desconhecido, OSINT russos.

isto significa que os desenvolvedores estabelecem o valor do resgate, executam as negociações e coletam o dinheiro que é mais tarde dividido com as afiliadas.

Longa lista de vítimas

O cibercriminoso operação foi criptografado computadores em grandes empresas, entre elas a Rota, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange Internacional, CyrusOne, Artech Sistemas de Informação, do Aeroporto de Albany International, Kenneth Cole, e GEDIA Grupo Automotivo.

Desconhecido diz que REvil afiliadas foram capazes de violar as redes da Rota e GSMLaw em apenas três minutos, explorando uma vulnerabilidade no Pulso de VPN Segura esquerda sem patch para meses após a correção tornou-se disponível .

tweets
fonte: maus pacotes

o representante público de REvil diz que o sindicato atingiu a rede de uma “grande empresa de jogos” e em breve anunciará o ataque.

eles também dizem que REvil foi responsável pelo ataque em setembro contra o banco público do Chile, BancoEstado. O incidente levou o banco a fechar todas as suas sucursais por um dia, mas não afetou a banca online, aplicativos e caixas eletrônicos.

Juntamente com fornecedores de serviços gerenciados (MSPs) que têm acesso a redes de múltiplas organizações, o mais lucrativo de metas para a REvil são empresas de seguro, legal e de agricultura

Como para o acesso inicial, Desconhecido mencionado ataques de força bruta, bem como protocolo de desktop remoto (RDP), combinada com novas vulnerabilidades.

um exemplo são vulnerabilidades rastreadas como CVE-2020-0609 e CVE-2020-0610 bugs e conhecidas como BlueGate. Estes permitem a execução de código remoto em sistemas que rodam Windows Server (2012, 2012 R2, 2016 e 2019).

novas formas de fazer dinheiro

REvil inicialmente fez o seu lucro com as vítimas que pagavam o resgate para desbloquear arquivos criptografados. Uma vez que os atacantes também trancaram os servidores de backup, as vítimas tinham poucas opções para se recuperar, e pagar era a maneira mais rápida.

o negócio ransomware mudou no ano passado, quando os operadores viram uma oportunidade de roubar dados de redes quebradas e começaram a ameaçar as vítimas com vazamentos prejudiciais que poderiam ter um impacto muito pior na empresa.

mesmo que demore mais tempo e cause um retrocesso significativo, grandes empresas podem recuperar arquivos criptografados de backups offline. Ter dados sensíveis no espaço público ou vendidos a partes interessadas, no entanto, pode ser sinônimo de perder a vantagem competitiva e danos de reputação que é difícil de reconstruir.

este método provou ser tão lucrativo que REvil agora ganha mais dinheiro por não publicar dados roubados do que por decriptação de resgate.

desconhecido diz que uma em cada três vítimas estão atualmente dispostos a pagar o resgate para evitar a fuga de dados da empresa. Este pode ser o próximo passo no negócio ransomware.

REvil também está pensando em adotar outra tática concebida para aumentar as suas probabilidades de ser pago: atingindo a vítima com ataques distribuídos de negação de serviço (DDoS) ataques para forçá-los a pelo menos (re)começar a negociar um pagamento.

SunCrypt ransomware usou esta tática recentemente em uma empresa que havia parado as negociações. Os atacantes deixaram claro que eles lançaram o ataque DDoS e terminaram quando as negociações foram retomadas. O REvil planeia implementar esta ideia.

o modelo de REvil para ganhar dinheiro está funcionando e a gangue já tem bastante em seus cofres. Em sua busca por novas afiliadas, eles depositaram US $ 1 milhão em bitcoins em um fórum de língua russa.

 usuário do Fórum

o movimento foi projetado para mostrar que sua operação gera abundância de lucro. De acordo com o Unknown, este passo é recrutar sangue novo para distribuir o malware, já que a cena do ransomware está cheia de criminosos cibernéticos profissionais.

embora eles tenham cargas de dinheiro, os desenvolvedores REvil estão confinados às fronteiras da comunidade de Estados Independentes (CEI, países da antiga União Soviética) região.

uma razão para isso é atacar um grande número de vítimas de alto perfil que levou a investigações de agências de aplicação da lei de todo o mundo. Como tal, viajar é um risco que os desenvolvedores REvil não estão dispostos a assumir.

REvil construído em código mais antigo

este sindicato ransomware também é referido como Sodin ou Sodinokibi, mas o nome REvil é inspirado pelo filme do mal residente e significa Ransomware Evil.

seu malware foi descoberto pela primeira vez em abril de 2019 e o grupo começou a procurar hackers qualificados (Elite penetration testers) logo após GandCrab ransomware fechar a loja.

desconhecido diz que o grupo não criou o malware criptografado a partir do zero, mas comprou o código fonte e desenvolveu em cima dele para torná-lo mais eficaz.

ele usa criptografia de curva elíptica (ECC) que tem um tamanho de chave menor do que o sistema de chave pública baseado em RSA, sem comprometer a segurança. O Unknown diz que esta é uma das razões pelas quais as afiliadas escolhem REvil sobre outras operações RaaS como Maze ou LockBit.

Antes de fechar seus negócios, os desenvolvedores GandCrab disseram que fizeram US $150 milhões, enquanto toda a operação arrecadou mais de US $2 bilhões em pagamentos de resgate.

claramente, as ambições do desenvolvedor REvil são maiores.

BleepingComputer foi dito que Desconhecido confirmou que a entrevista (em russo) era real.

Deixe uma resposta

O seu endereço de email não será publicado.