En-tête REvil

Les développeurs de ransomwares REvil disent avoir gagné plus de 100 millions de dollars en un an en extorquant de grandes entreprises du monde entier à divers secteurs.

Ils sont motivés par le profit et veulent tirer 2 milliards de dollars de leur service de rançongiciels, adoptant les tendances les plus lucratives dans leur quête de richesse.

Les affiliés font le gros du travail

Un représentant de REvil qui utilise les alias « UNKN » et « Unknown » sur les forums cybercriminels a parlé au blog technique Russian OSINT offrant quelques détails sur l’activité du groupe et des indices de ce qu’ils ont en réserve pour l’avenir.

Comme presque tous les gangs de ransomwares aujourd’hui, REvil exécute une opération RaaS (ransomware-as-a-service). Selon ce modèle, les développeurs fournissent des logiciels malveillants de cryptage de fichiers aux affiliés, qui gagnent la part du lion de l’argent extorqué aux victimes.

Avec REvil, les développeurs prennent 20 à 30% et le reste de la rançon payée va aux affiliés, qui exécutent les attaques, volent les données et font exploser le ransomware sur les réseaux d’entreprise.

 » La plupart du travail est effectué par les distributeurs et les ransomwares ne sont qu’un outil, ils pensent donc que c’est une division équitable « , a déclaré le représentant de REvil, Unknown, à Russian OSINT.

Cela signifie que les développeurs fixent le montant de la rançon, mènent les négociations et collectent l’argent qui est ensuite partagé avec les affiliés.

Longue liste de victimes

L’opération cybercriminelle a crypté les ordinateurs de grandes entreprises, parmi lesquelles Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, l’aéroport international d’Albany, Kenneth Cole et GEDIA Automotive Group.

Unknown affirme que les affiliés de REvil ont pu violer les réseaux de Travelex et de GSMLaw en seulement trois minutes en exploitant une vulnérabilité dans Pulse Secure VPN laissée non corrigée pendant des mois après la disponibilité du correctif.

 tweets
source : Paquets défectueux

Le représentant public de REvil dit que le syndicat a frappé le réseau d’une « grande société de jeux » et annoncera bientôt l’attaque.

Ils disent également que REvil était responsable de l’attaque en septembre contre la banque publique du Chili, BancoEstado. L’incident a incité la banque à fermer toutes ses succursales pendant une journée, mais n’a pas affecté les services bancaires en ligne, les applications et les guichets automatiques.

Avec les fournisseurs de services gérés (MSP) qui ont accès à des réseaux de plusieurs organisations, les cibles les plus rentables pour REvil sont les entreprises des secteurs de l’assurance, du droit et de l’agriculture

En ce qui concerne l’accès initial, les attaques par force brute inconnues mentionnées ainsi que le protocole de bureau à distance (RDP) combiné à de nouvelles vulnérabilités.

Un exemple sont les vulnérabilités suivies en tant que bogues CVE-2020-0609 et CVE-2020-0610 et connues sous le nom de BlueGate. Ceux-ci permettent l’exécution de code à distance sur les systèmes exécutant Windows Server (2012, 2012 R2, 2016 et 2019).

Nouvelles avenues lucratives

REvil a d’abord tiré profit des victimes qui payaient la rançon pour débloquer des fichiers cryptés. Étant donné que les attaquants ont également verrouillé les serveurs de sauvegarde, les victimes avaient peu d’options pour récupérer, et payer était le moyen le plus rapide.

L’activité des ransomwares a changé l’année dernière lorsque les opérateurs ont vu une opportunité de voler des données sur des réseaux violés et ont commencé à menacer les victimes de fuites dommageables qui pourraient avoir un impact bien pire sur l’entreprise.

Même si cela prend plus de temps et provoque un recul important, les grandes entreprises peuvent récupérer des fichiers cryptés à partir de sauvegardes hors ligne. Cependant, avoir des données sensibles dans l’espace public ou vendues à des parties intéressées peut être synonyme de perte d’un avantage concurrentiel et de dommages à la réputation difficiles à reconstruire.

Cette méthode s’est avérée si lucrative que REvil gagne désormais plus d’argent en ne publiant pas de données volées qu’en rançonnant le décryptage.

Unknown affirme qu’une victime sur trois est actuellement prête à payer la rançon pour empêcher la fuite des données de l’entreprise. Cela pourrait être la prochaine étape dans le secteur des ransomwares.

REvil envisage également d’adopter une autre tactique conçue pour augmenter leurs chances d’être payé: frapper la victime avec des attaques par déni de service distribué (DDoS) pour la forcer à au moins (re)commencer à négocier un paiement.

SunCrypt ransomware a utilisé cette tactique récemment sur une entreprise qui avait cessé les négociations. Les attaquants ont clairement indiqué qu’ils avaient lancé l’attaque DDoS et y avaient mis fin lorsque les négociations avaient repris. REvil prévoit de mettre en œuvre cette idée.

Le modèle de REvil pour gagner de l’argent fonctionne et le gang en a déjà beaucoup dans ses coffres. Dans leur recherche de nouveaux affiliés, ils ont déposé 1 million de dollars en bitcoins sur un forum russophone.

 Utilisateur du forum

Le mouvement a été conçu pour montrer que leur fonctionnement génère beaucoup de bénéfices. Selon Unknown, cette étape consiste à recruter du sang neuf pour distribuer le malware, car la scène des ransomwares est pleine à craquer de cybercriminels professionnels.

Bien qu’ils aient des cargaisons d’argent, les développeurs de REvil sont confinés aux frontières de la Communauté des États indépendants (CEI, pays de l’ex-Union soviétique).

Une raison à cela est d’attaquer un grand nombre de victimes très médiatisées qui ont suscité des enquêtes de la part des forces de l’ordre du monde entier. En tant que tel, voyager est un risque que les développeurs ne sont pas prêts à prendre.

REvil construit sur l’ancien code

Ce syndicat de ransomware est également appelé Sodin ou Sodinokibi, mais le nom REvil est inspiré du film Resident Evil et signifie Ransomware Evil.

Leur logiciel malveillant a été repéré pour la première fois en avril 2019 et le groupe a commencé à rechercher des pirates qualifiés (testeurs de pénétration d’élite) peu de temps après la fermeture de GandCrab ransomware.

Unknown affirme que le groupe n’a pas créé le logiciel malveillant de chiffrement de fichiers à partir de zéro, mais a acheté le code source et l’a développé pour le rendre plus efficace.

Il utilise la cryptographie à courbe elliptique (ECC) qui a une taille de clé plus petite que le système à clé publique basé sur RSA, sans compromis sur la sécurité. Unknown dit que c’est l’une des raisons pour lesquelles les affiliés choisissent REvil plutôt que d’autres opérations RaaS comme Maze ou LockBit.

Avant de fermer leur entreprise, les développeurs de GandCrab ont déclaré avoir touché 150 millions de dollars, tandis que l’ensemble de l’opération a collecté plus de 2 milliards de dollars en paiements de rançon.

Clairement, les ambitions du développeur REvil sont plus grandes.

Bip On a dit à l’ordinateur que l’inconnu confirmait que l’interview (en russe) était réelle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.