REvil es un ataque de Ransomware como servicio (RaaS), que robó grandes sumas de dinero a organizaciones y empresas el año pasado. El nombre Revil significa Ransomeware Evil, que tiene el motivo de la película Resident Evil. Esta es la amenaza de ransomware más frecuente, según un informe reciente publicado por empresas de seguridad, y el grupo detrás de ella ha multiplicado la extorsión al amenazar con robar datos comerciales y divulgarlos.
.jpg)
Reville, también conocido como Sodinokibi, apareció por primera vez en abril de 2019 y comenzó a ganar fama después de que otro grupo de RaaS llamado GranCrab dejó de estar activo. Cuando apareció Revil por primera vez, los expertos y las empresas de seguridad lo vieron como una variante de Gandcrap y argumentaron que al menos había una conexión entre ellos, aunque no fuera así. Sin embargo, una persona que usa el seudónimo Desconocido, que se cree que es miembro de este grupo atacante, confirmó en una entrevista reciente que Reville no era una creación nueva, sino que se basó en el antiguo código base que obtuvieron.
Los desarrolladores detrás de este ataque RaaS confían en los ciberdelincuentes conocidos como ‘afiliados’ para distribuir ransomware. El desarrollador de ransomware se queda con el 20-30% de las ganancias ilegales, y el resto lo toma un “cooperador” que se conecta a la red corporativa y distribuye el código malicioso.
Cuanto más exitoso es un ataque RaaS, más probabilidades hay de atraer a un colaborador competente y, después de un ataque, el colaborador pasa rápidamente a otro. Esto ha ocurrido en el pasado en GandCrab, y más recientemente en Maze. Cuando sus miembros anunciaron su suspensión a principios de este mes, los colaboradores se trasladaron rápidamente a una nueva familia de ransomware conocida como Egregor o Sekhmet.
Reville, ¿cuánto éxito has tenido?
En septiembre, el equipo de respuesta a incidentes de IBM Security X-force reveló que una cuarta parte de los incidentes de ciberseguridad afectados este año fueron infecciones de ransomware. Además, un tercio de las infecciones de ransomware fueron Revil / Sodinokibi.
Un experto en seguridad dijo: “El tipo de ransomware que más vio IBM Security Expo en 2020 es Revil (Sodinokibi). Este es un modelo de ataque RaaS e implementó un ataque de ransomware mixto este año “. “Este malware estuvo involucrado en ransomware y ataques de robo de datos, y los operadores de ransomware roban datos confidenciales de Internet cuando las víctimas no pagan el dinero del rescate. Vendido en subasta. Además, Sodinokibi representó el 29% de todas las operaciones de ransomware IBM Security Xforce en 2020. Esto sugiere que los operadores de Sodinokibi tienen una capacidad superior para acceder a la red de la víctima en comparación con otros tipos de ransomware “.
IBM Security Expo estima que Revil ha atacado al menos 140 instituciones y empresas desde su aparición en 2019, siendo sus principales objetivos los servicios mayoristas, de fabricación y profesionales (legales, contables, etc.). Aproximadamente el 60% de las víctimas eran empresas estadounidenses, seguidas del Reino Unido, Australia y Canadá. Además, un tercio de las víctimas de Revil pagaron el rescate y un décimo estimó que la información confidencial se subastó en la Dark Web. A un tercio de las víctimas les robaron sus datos.
El grupo de ataque revil parece haber solicitado un precio de rescate basado en las ventas anuales de la víctima. Es por eso que la cantidad requerida varió significativamente, desde $ 1,500 a $ 42 millones, hasta el 9% de las ventas anuales de la víctima. Además, IBM ha identificado cierta superposición entre Revil y la organización de ciberdelincuencia FIN7 (también conocida como ‘Carbanak’). Esto puede suceder si el ‘cooperador’ contrata a ambos grupos.
IBM estimó que los ingresos de Reville el año pasado fueron de al menos 81 millones de dólares. Cuando miras una entrevista con Unknow, quien se cree que es el representante del grupo Reville, y un bloguero ruso, parece que esta estimación no es incorrecta. Los ciberdelincuentes afirmaron haber ganado más de $ 100 millones con el ataque de ransomware. BleepingComputer informó en septiembre que el grupo depositó $ 1 millón en bitcoins en un foro de piratas informáticos, un intento de reclutar piratas informáticos competentes como ‘cooperadores’.
Robo de datos, robo y falsas promesas
A principios de noviembre de 2020, Coveware, una empresa de respuesta a incidentes de ransomware, informó que Revil / Sodinokibi representaron la mayor participación de ransomware en el tercer trimestre de 2020 con una tasa de infección del 16%. También fue número uno en el trimestre anterior. Casi la mitad de los incidentes de ransomware investigados por Coveware amenazaban con revelar datos robados, y la cantidad de grupos que usaban esta amenaza aumentó.
“Coveware siente que su estrategia de robo de datos ha llegado a su punto crítico”, dijo la compañía de seguridad. “He sido testigo de cómo se agotan las promesas”.
En particular, Coveware presenció una situación en la que una víctima que ya había pagado el dinero fue nuevamente amenazada con divulgar los mismos datos unas semanas después. Otros grupos también han proporcionado pruebas falsas de que no cumplieron sus promesas y revelaron o eliminaron datos sobre las víctimas que pagaron el dinero.
Coveware dijo: “A diferencia de las negociaciones sobre claves de cifrado, las negociaciones sobre la confidencialidad de los datos robados no tienen una conclusión definitiva”, dijo Coveware. Si se roban los datos, el actor de la amenaza puede volver por dinero en cualquier momento en el futuro. Ya se están acumulando pruebas de que el historial de esto es demasiado corto y que el incumplimiento es selectivo. Por lo tanto, se recomienda a las víctimas de datos que tomen medidas estrictas y responsables. “Por ejemplo, puede obtener asesoramiento de un abogado de privacidad competente, investigar qué datos se han robado y proporcionar las notificaciones necesarias para tales investigaciones y consultas”.
El agente de Reville, Unknow, dijo que también está considerando introducir otras técnicas a los blogueros rusos. Por ejemplo, iniciar un ataque de denegación de servicio distribuido (DDoS) para presionar a las organizaciones a retrasar las negociaciones.
Cómo actúa Revil
Revil es una de las campañas de ransomware controladas por humanos, similar a Ryuk y WastedLocker. Si la intrusión tiene éxito, los piratas informáticos utilizan varias herramientas y técnicas para mapear la red, realizar movimientos laterales, adquirir derechos de administrador de dominio e implementar ransomware en todas las computadoras para maximizar el impacto.
Dado que varios ‘colaboradores’ hacen circular las injurias, la ruta de acceso inicial varía. En otras palabras, el malware se propaga a través de correos electrónicos de phishing adjuntos, certificados comprometidos del Protocolo de escritorio remoto (RDP) y aprovechamientos de vulnerabilidades conocidas. Por ejemplo, el año pasado, un atacante de Revil obtuvo acceso a un sistema explotando una vulnerabilidad conocida (CVE-2019-2725) en Oracle Weblogic.
Según el informe de Coveware, las injurias se propagan actualmente principalmente a través de sesiones de RDP comprometidas (65%), phishing (16%) y vulnerabilidades de software (8%). ‘Desconocido’ también confirmó en una entrevista que hay muchos ‘cooperadores’ de Revil que usan ataques de fuerza bruta para socavar el RDP.
Revil se diferencia de otros programas de ransomware en que cifra los archivos mediante el intercambio de claves Diffie-Hellman, un algoritmo de curva elíptica en lugar de RSA y Salsa 20 en lugar de AES. Estos algoritmos criptográficos utilizan claves cortas y, si se implementan de manera muy eficiente y correcta, no se pueden romper.
El ransomware Revil mata el proceso de la máquina infectada. Por ejemplo, bloquea clientes de correo electrónico, SQL y otros servidores de bases de datos, programas de Microsoft Office, navegadores y archivos importantes. Después de eso, elimina copias de los archivos de sombra de Windows y otras copias de seguridad para evitar la recuperación de archivos.
Método de respuesta a la rebelión
Las organizaciones siempre deben proteger el acceso remoto con certificados sólidos y autenticación de dos factores, y deben considerar restringir esto a una VPN. Los servidores, aplicaciones y dispositivos expuestos al público deben actualizarse constantemente y comprobarse periódicamente en busca de vulnerabilidades, errores de configuración y comportamientos sospechosos. Siempre que sea posible, también se debe implementar una protección contra ataques de fuerza bruta que bloquee los intentos de inicio de sesión excesivos mediante certificados falsos. Las siguientes acciones deben tomarse dentro de la red corporativa.
- Bloquea la comunicación del bloque de mensajes del servidor (SMB) y la llamada a procedimiento remoto (RPC) entre los puntos finales innecesarios que se pueden utilizar para el movimiento lateral
- Seguimiento de comportamientos sospechosos de cuentas privilegiadas
- Las estrictas reglas de control de acceso para carpetas y procesos reducen la superficie de ataque de los puntos finales
- Compartir red de forma segura
- Capacitar al personal sobre cómo detectar intentos de phishing
- Implementar un proceso de respaldo de datos para almacenar el respaldo externamente y probar el retorno oportuno del respaldo
- Se cuenta con un plan claro de respuesta a incidentes para que se puedan tomar medidas inmediatas cuando se detecte un ataque. Especifique las personas involucradas y sus responsabilidades. NIST ha publicado una guía para detectar y responder al ransomware.
Los investigadores de Coveware dijeron: “Ciertas industrias, como la atención médica, son más sensibles a los datos confidenciales y la interrupción del sistema, por lo que es más probable que sean atacadas que otras industrias. Es un sesgo que se produce “.
Los investigadores de Coveware dicen que los servicios profesionales como las oficinas legales o contables son particularmente débiles. Los 4,2 millones de empresas de servicios profesionales estadounidenses representan el 14% de las empresas estadounidenses, pero los ataques representan el 25%.
“Estas empresas tienden a tomar las amenazas de ransomware con menos seriedad”, dijo Coveware. A menudo tienen vulnerabilidades como RDP abierto en Internet y se ven afectadas con mucha más frecuencia que las empresas de otras industrias. Es importante comprender que las pequeñas empresas de servicios profesionales no están descartadas solo porque sean pequeñas. El mundo del ciberdelito no funciona de esa manera. Es atacado exponiendo una vulnerabilidad fácil a Internet. Es solo cuestión de tiempo.” editor@itworld.co.kr
Source: ITWorld Korea by www.itworld.co.kr.
*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
.jpg&description=El+ransomware+Reville%2C+representante+de+RaaS%2C+gan%C3%B3+al+menos+81+millones+de+d%C3%B3lares+el+a%C3%B1o+pasado){kind=link}