REvil-gruppen, alias Sodinokibi, genbruger sine ofre ved at true med at frigive stjålne data, selv efter den oprindelige løsesum efterspørgsel er betalt.
REvil er en ransomware-as-a-service (RaaS), der har afpresset store mængder penge fra organisationer over hele verden i løbet af det seneste år. Dens navn står for Ransomware Evil og blev inspireret af Resident Evil filmserie. Ifølge de seneste rapporter fra sikkerhedsfirmaer er det er den mest udbredte ransomware trussel og gruppen bag REvil fordobler sin afpresningsindsats ved også at stjæle forretningsdata og true med at frigive det.
REvil, også kendt som Sodinokibi, dukkede første gang op i april 2019 og blev fremtrædende, efter at en anden RaaS-bande kaldet GandCrab lukkede sin tjeneste. I de tidlige dage af REvil, har researchere og sikkerhedsfirmaer identificeret det som en stamme af GandCrab, eller i det mindste etableret flere forbindelser mellem de to. Et påstået medlem af gruppen bekræfter i et nyligt interview, at ransomware ikke var en ny skabelse og at det blev bygget oven på en ældre kodebase.
Udviklere bag RaaS operationer er afhængige af andre cyberkriminelle kendt som affiliates til at distribuere ransomware for dem. Faktisk høster ransomware-udviklere 20% til 30% af den ulovlige provenu mens resten går til affiliates, der gør benarbejde for at få adgang til virksomhedens netværk og implementere malware.
Jo mere vellykket en RaaS operation er, jo mere sandsynligt er det at tiltrække dygtige affiliates, og hvis en operation lukker, kan affiliates hurtigt skifte til en anden. Dette skete med GandCrab og for nylig med Maze-gruppen, hvis medlemmer annoncerede deres pensionering tidligere på måneden, og hvis affiliates straks flyttede til en ny ransomware-familie kaldet Egregor, også kendt som Sekhmet.
I juli 2021 udnyttede REvil-affiliates nuldagssårbarheder i et systemadministrations- og overvågningsværktøj udviklet af et firma kaldet Kaseya for at kompromittere over 30 administrerede tjenesteudbydere fra hele verden og over 1.000 forretningsnetværk, der forvaltes af disse MSP’er. Angrebet vakte stor medieopmærksomhed og udløste endda en diskussion om emnet ransomware mellem USA’s præsident, Joe Biden, og Ruslands præsident, Vladimir Putin. Kort efter samtalerne stoppede REvils websteder med at fungere, og gruppen blev tavs, hvilket fik spekulationer om, at russisk retshåndhævelse kunne have grebet ind over for det. Kaseya modtog også en master dekrypteringsnøgle, der arbejdede for alle ofre fra en unavngiven “betroet tredjepart.”
September 2021, rapporterede cyberkriminalitet analytikere fra Flashpoint, at REvil’s hjemmesider er tilbage online og at en ny repræsentant for gruppen lagde beskeder på underjordiske fora for at forklare, hvad der skete. Ifølge disse blev master-dekrypteringsnøglen genereret ved et uheld af en af gruppens kodere og blev bundtet med de enkelte dekrypteringsnøgler for nogle af ofrene. Gruppen arbejder også på at reparere relationer med sine samarbejdspartnere og affiliates efter sin pludselige forsvinden.
Hvor vellykket er REvil?
I september 2021 rapporterede IBM Security X-Force Incident Response team, at en ud af fire cybersikkerhedshændelser de blev bedt om at afhjælpe i år i deres kundenetværk var vedrørende ransomware. Desuden var REvil/Sodinokibi involveret i en ud af tre ransomwarehændelser.
Kilde: CSOonline