REvil

REvil ransomware – En udbredt afpresningsoperation

REvil-gruppen, alias Sodinokibi, rammer sine mål dobbelt ved at true med at frigive stjålne data, selv efter den oprindelige løsesum er betalt. I visse tilfælder er der sket en genhacking, selvom de ikke har fået penge første gang.

REvil er en ransomware-as-a-service (RaaS)

REvil er en ransomware-as-a-service (RaaS) operation, der har afpresset store mængder penge fra organisationer over hele verden i løbet af det seneste år. Dens navn står for Ransomware Evil og blev inspireret af Resident Evil filmserien. Ifølge de seneste rapporter fra sikkerhedsfirmaer er det den mest udbredte ransomware trussel og gruppen bag den fordobler sin afpresningsindsats ved også at stjæle forretningsdata og true med at frigive det.

REvil, også kendt som Sodinokibi, dukkede første gang op i april 2019 og blev fremtrædende, efter at en anden RaaS-bande kaldet GandCrab lukkede sin tjeneste. I de tidlige dage af REvil, identificerede researchere og sikkerhedsfirmaer den som en stamme af GandCrab eller i det mindste flere forbindelser mellem de to. Et påstået medlem af gruppen bekræftede i et nyligt interview, at ransomware ikke var en ny skabelse og at det blev bygget oven på en ældre kodebase.

Udviklere bag RaaS operationer er afhængige af andre cyberkriminelle kendt som affiliates (samarbejdspartnere) til at distribuere ransomware for dem. Faktisk tjener ransomwareudviklere mellem 20% til 30% af det ulovlige provenu mens resten går til affiliates, der gør benarbejdet for at få adgang til virksomhedens netværk og implementere malware.

Jo mere vellykket en RaaS operation er, jo mere sandsynligt er det at tiltrække dygtige affiliates og hvis en operation lukker, kan samarbejdspartnere hurtigt skifte til en anden. Dette skete med GandCrab i fortiden og for nylig med Maze-gruppen, hvis medlemmer annoncerede deres pensionering tidligere på måneden og hvis samarbejdspartnere straks flyttede til en ny ransomware-familie kaldet Egregor, også kendt som Sekhmet.

I juli 2021 udnyttede REvil-affiliatesr nuldagssårbarheder i et systemadministrations- og overvågningsværktøj udviklet af et firma kaldet Kaseya for at kompromittere over 30 administrerede tjenesteudbydere fra hele verden og over 1.000 forretningsnetværk, der forvaltes af disse MSP’er. Angrebet vakte stor medieopmærksomhed og udløste endda en diskussion om emnet ransomware mellem USA’s præsident, Joe Biden, og Ruslands præsident, Vladimir Putin. Kort efter samtalerne stoppede REvils websteder med at fungere og gruppen blev tavs, hvilket fik spekulationer om, at russisk retshåndhævelse kunne have grebet ind over for det. Kaseya modtog også en master dekrypteringsnøgle, der arbejdede for alle ofre fra en unavngiven “betroet tredjepart.” Måske Rusland.

En nøgle til Dekryptering

Den 9. september rapporterede researchere fra Flashpoint, at REvil’s hjemmesider er tilbage online og at en ny repræsentant for gruppen har lagt beskeder op for at forklare, hvad der skete. Ifølge disse blev master dekrypteringsnøglen genereret ved et uheld af en af gruppens kodere og blev bundtet med de enkelte dekrypteringsnøgler for nogle af ofrene. Gruppen arbejder også på at reparere relationer med sine samarbejdspartnere og affiliates efter sin pludselige forsvinden, siger Flashpoint…

Den 9. november annoncerede det amerikanske justitsministerium tiltale mod to formodede REvil affiliates: Yaroslav Vasinskyi, 22, fra Ukraine og Yevgeniy Polyanin, 28, fra Rusland. Vasinskyi blev sigtet i forbindelse med angrebet mod Kaseya og blev anholdt i Polen. Myndighederne forsøger at udlevere ham til USA. Polyanin blev anklaget i forbindelse med REvil angreb mod andre organisationer og han er ikke blevet pågrebet endnu, men myndighederne formåede at beslaglægge 6.100.000 dollars i midler, som han angiveligt opnået fra ransomware betalinger.

Samme dag meddelte Europol, at fem formodede REvil-affiliates er blevet arresteret siden februar, herunder to i november i Rumænien. Agenturet bemærkede, at disse bestræbelser var en del af en international retshåndhævelsesoperation ved navn GoldDust, der involverede 17 lande og startede med en undersøgelse af GandCrab. Da det blev lukket ned i 2019, GandCrab var en af de bedste ransomware familier. Nogle af de GandCrab affiliates menes at have senere flyttet til REvil, Europol sagde.

Hvor vellykket er REvil?

I september, rapporterede IBM Security X-Force Incident Response team, at en ud af fire cybersikkerhed hændelser det blev kaldt til at afhjælpe i år i kundenetværk var en ransomware infektion. Desuden, en ud af tre ransomware infektioner involveret REvil/Sodinokibi.

Den ransomwarestamme som IBM Security X-Force har set hyppigst i 2020 er Sodinokibi (Revil) en ransomware-as-a-service (RaaS) angrebsmodel, der har været kapitalisere på blandet ransomware og afpresning angreb i år. Denne malware har været involveret i ransomware- og datatyveriangreb og i nogle tilfælde, dens operatører stjal og bortauktioneret følsomme data på internettet, når de ikke var i stand til at tvinge ofrene til at betale op. Sodinokibi udgør også 29% af alle IBM Security X-Force ransomware engagementer i 2020, hvilket tyder på, at Sodinokibi-aktører er dygtigere til at få adgang til offernetværk sammenlignet med andre ransomwarestammer.”

IBM Security X-Force anslog, at REvil har ramt mindst 140 organisationer, siden den dukkede op i april 2019, hvor engros-, fremstillings- og professionelle tjenester var de hyppigst målrettede industrier. Omkring 60% af bandens ofre er organisationer fra USA, efterfulgt af Storbritannien, Australien og Canada.

Virksomheden anslår også, at en tredjedel af REvil ofre betalt løsesummen og at en ud af ti havde deres følsomme oplysninger bortauktioneret på det mørke web. En tredjedel af gruppens ofre fik stjålet deres data.

Revil-banden synes at basere sine løsesumskrav på de årlige indtægter af offerorganisationer, hvilket er grunden til løsesumstørrelse, varierede meget og mellem $1,500 og $42 millioner og op til 9% af ofrets årlige indtægter. IBM har også identificeret en vis overlapning mellem REvil og en cyberkriminelle gruppe kendt som FIN7, også kendt som Carbanak, hvilket kan være en businesspartner.

IBM-forskerne anslår, at REvil’s overskud i det forløbne år var mindst 81 millioner dollars. Et interview med en russisk blogger med den påståede REvil gruppe repræsentant Unknown synes at bekræfte, at. Den cyberkriminelle hævder gruppen gjort over $100 millioner fra sine ransomware angreb. I slutningen af september, gruppen deponeret $1 million i Bitcoin på en hacker forum i et forsøg på at rekruttere flere dygtige hackere til at blive sine affiliates, BleepingComputer rapporteret.

Datatyveri, afpresning og tomme løfter

Tidligere i denne måned rapporterede Coveware, et selskab, der har specialiseret sig i ransomware hændelsessvar, at REvil havde den største markedsandel blandt ransomware grupper i tredje kvartal af 2020 og hermed ansvarlig for 16% af infektioner. Gruppen ledte også an i det foregående kvartal.

Coveware ser hændelser, hvor ofre, der allerede har betalt, blev afpresset igen af REvil et par uger senere med trusler om at frigive de samme data. Andre grupper undlod også at holde deres løfter ved at offentliggøre data om ofre, der valgte at betale eller ved at vise falske beviser for sletning af data.

Sådan fungerer REvil

REvil er en af de ransomwareprogrammer overført gennem malwarekampagner ligesom Ryuk, WastedLocker og andre. Det betyder, at hackere, efter at have brudt ind bruger en række værktøjer og teknikker til at kortlægge netværket, forsøger at opnå domæneadministratorrettigheder og implementere ransomware på alle computere for at maksimere virkningen.

Da REvil distribueres af forskellige affiliates, adskiller de første adgangsvektorer sig mellem phishing-e-mails med ondsindede vedhæftede filer til kompromitterede RDP-legitimationsoplysninger (Remote Desktop Protocol) og udnyttelsen af sårbarheder i forskellige offentlige tjenester. For eksempel fik REvil hackere sidste år adgang til systemer ved at udnytte en kendt sårbarhed i Oracle Weblogic (CVE-2019-2725).

Ifølge Coveware rapport, REvil er nu distribueres primært gennem kompromitteret RDP sessioner (65%), phishing (16%), og software sårbarheder (8%). Ukendt bekræftede også i sit interview, at mange REvil affiliates bruger brute force angreb til at kompromittere RDP.

REvil skiller sig ud fra andre ransomware programmer gennem sin brug af Elliptic-kurve Diffie-Hellman centrale udveksling i stedet for RSA og Salsa20 i stedet for AES at kryptere filer. Disse kryptografiske algoritmer bruger kortere nøgler, er meget effektive og er ukrackable, hvis de implementeres korrekt.

Ransomware dræber nogle processer på de inficerede maskiner, herunder e-mail-klienter, SQL og andre databaseservere, Microsoft Office-programmer, browsere og andre værktøjer, der kan holde vigtige filer låst eller bakket ind i RAM. Derefter slettes Windows-øjebliksbilleder af filer og andre sikkerhedskopier for at forhindre filgendannelse.

Sådan forsvares mod REvil

Organisationer bør altid sikre deres fjernadgang med stærke legitimationsoplysninger og tofaktorgodkendelse og bør overveje kun at gøre sådanne tjenester tilgængelige via VPN. Alle offentligt eksponerede servere, programmer og apparater skal holdes opdateret og bør regelmæssigt scannes for sårbarheder, fejlkonfiguration og mistænkelig adfærd. Brute force beskyttelse, der blokerer overdrevet loginforsøg med de forkerte legitimationsoplysninger bør også aktiveres, hvor det er muligt.

Inden for lokale netværk skal du tage disse handlinger:

  • Bloker ikke-behovs SMB- og RPC-kommunikation mellem slutpunkter, der kan bruges til sidebevægelse.
  • Overvåg privilegerede konti for mistænkelig adfærd.
  • Reducer angrebsoverfladen på slutpunkter med strengere adgangskontrolregler for mapper og processer.
  • Sikre netværksshares.
  • Træn medarbejderne i, hvordan du registrerer phishing-forsøg.
  • Har en databackup proces på plads, der gemmer sikkerhedskopier offsite og tests, at genoprette fra sikkerhedskopier kan gøres i tide.
  • Har klart definerede hændelsesresponsplaner på plads, så der kan træffes foranstaltninger med det samme, hvis der opdages et angreb. Det bør være klart, hvem der er involveret i denne proces, og hvad deres ansvar er. NIST har offentliggjort et udkast til vejledning om at opdage og reagere på ransomware.
  • Visse industrier, såsom sundhedspleje, kan synes at være mere stærkt målrettet end andre, på grund af de følsomme data, de har, og deres relative intolerance over for nedetid.

Coveware researchere mener at professionelle tjenester såsom jura eller revisionsfirmaer er særligt sårbare. De 4,2 millioner amerikanske professionelle servicevirksomheder udgør omkring 14% af alle virksomheder i landet, men udgør 25% af angrebene. Disse virksomheder er mere tilbøjelige til at tage truslen om ransomware mindre alvorligt. De ofte forlader sårbarheder som RDP åben for internettet og er ofre meget mere regelmæssigt end virksomheder i andre brancher. Det er afgørende, at små professionelle servicevirksomheder erkender, at der ikke findes noget, der er »for lille« til at blive ramt. Cyber-afpresning industrien virker ikke sådan. Hvis du præsenterer en billig sårbarhed over for internettet, vil du blive angrebet. Det er bare et spørgsmål om hvornår, ikke hvis.”

Kilde: CSO