Las principales tendencias del ‘ransomware Reville’ que tuvo éxito con RaaS y cómo prevenirlo

Revil es un ataque de ramsomware como servicio (RaaS) que extorsionó grandes cantidades de dinero a empresas de todo el mundo durante el año pasado. El nombre de Revil significa Ransomeware Evil, que se inspiró en la película Resident Evil. Según un informe reciente publicado por empresas de seguridad, Reville es la amenaza de ransomware más frecuente, y el grupo ha multiplicado su actividad de extorsión al amenazar incluso con robar datos comerciales y divulgarlos.
Ⓒ Banco de imágenes de Getty

Revil, también conocido como Sodinokibi, apareció por primera vez en abril de 2019 y ganó popularidad después de que otro grupo criminal RaaS llamado GranCrab cerró. Cuando apareció Revil por primera vez, los expertos y las empresas de seguridad argumentaron que era una variante de GandCrab, o al menos varias conexiones entre ellos. Un presunto miembro de este grupo, Desconocido, confirmó en una entrevista reciente que Reville no era una creación nueva y se basaba en un antiguo código base que habían obtenido.

Los desarrolladores detrás de los ataques RaaS confían en los ciberdelincuentes conocidos como “colaboradores” para distribuir ransomware. De hecho, los desarrolladores de ransomware obtienen entre el 20 y el 30% de las ganancias ilegales, y el resto lo toman los ‘colaboradores’ que realmente hacen el trabajo de acceder a las redes corporativas y desplegar malware.

Cuanto más exitoso sea un ataque RaaS, es más probable que atraiga a un colaborador capaz, y una vez que un ataque ha terminado, el colaborador pasará rápidamente a otro. Esto ha sucedido en el pasado con GandCrab, y más recientemente con Maze. Cuando estos miembros anunciaron el final de la actividad de GandCrab, los colaboradores se trasladaron rápidamente a un nuevo ransomware conocido como Egregor o Sekhmet.

En julio de 2021, los colaboradores de Revil explotaron una vulnerabilidad de día cero en una herramienta de administración y monitoreo de sistemas desarrollada por una compañía llamada Kaseya para más de 30 proveedores de servicios administrados (MSP) en todo el mundo y más de 1,000 empresas que administran. la red se vio comprometida.

El ataque atrajo mucha atención de los medios, e incluso el presidente de los Estados Unidos, Joe Biden, provocó discusiones sobre el ransomware entre el presidente ruso, Vladimir Putin.

Poco después de la reunión, el sitio web de Reville dejó de funcionar y el grupo se quedó en silencio. También se especula que las autoridades rusas encargadas de hacer cumplir la ley pueden haber tomado medidas al respecto. Kaseya también recibió una clave maestra de descifrado que funcionó para todas las víctimas de un “tercero de confianza” anónimo.

El 9 de septiembre de 2021, los analistas de delitos cibernéticos de Flashpoint informaron que el sitio web de Reville estaba nuevamente en línea y que un nuevo representante del grupo había publicado un mensaje en un foro clandestino explicando lo que había sucedido. hizo.

Según la publicación, la clave de descifrado maestra fue creada accidentalmente por uno de los desarrolladores del grupo y se incluyó con claves de descifrado individuales para algunas víctimas. Flashpoint dijo que estaba trabajando para mejorar las relaciones con sus colaboradores y afiliados después de que el grupo desapareció abruptamente.


Reville, ¿qué tan exitoso eres?

En septiembre de 2020, el equipo de respuesta a incidentes de IBM Security X-force reveló que 1 de cada 4 incidentes de ciberseguridad en las redes de clientes empresariales eran infecciones de ransomware. Además, una de cada tres infecciones de ransomware involucró a Reville / Sodinokibi.

En ese momento, los expertos dijeron: “El tipo de ransomware más común que IBM Security X-Force presenció en 2020 es Sodinokibi (Reville). Este es un modelo de ataque RaaS, y este año ha implementado un ataque mixto de ransomware y un ataque de extorsión. “Los datos fueron robados y vendidos en una subasta en Internet”, explicó.

Sodinokibi también representa el 29% de todas las contramedidas de ransomware IBM Security X-Force en 2020. Esto sugiere que los operadores de Sodinokibi tienen un acceso superior a las redes de víctimas en comparación con otros tipos de ransomware.

IBM Security X-Force estima que Reville ha atacado al menos a 140 empresas desde su creación en 2019, siendo las principales industrias objetivo la venta al por mayor, la fabricación y los servicios profesionales (legal, contable, etc.). Aproximadamente el 60% de las víctimas eran empresas estadounidenses, seguidas del Reino Unido, Australia y Canadá.

También se estima que un tercio de las empresas afectadas por Reville pagaron el rescate, y en una de cada 10 empresas se subastó información confidencial en la dark web. A un tercio de las empresas afectadas les robaron sus datos.
El grupo Reville parece haber exigido un rescate basado en las ventas anuales de la víctima. La cantidad requerida varió ampliamente, de $ 1,500 a $ 42 millones, con hasta el 9% de las ventas anuales de la víctima. IBM también identificó cierta superposición entre Reville y el grupo de ciberdelincuentes FIN7 (también conocido como ‘Carbanak’). Esto puede suceder si el ‘colaborador’ tiene un contrato con ambos grupos.

IBM estima que los ingresos de Reville el año pasado fueron de al menos 81 millones de dólares. Según una entrevista con un bloguero ruso ‘Desconocido’, presuntamente representante del grupo Reville, esta estimación no parece estar equivocada. El ciberdelincuente afirmó haber ganado más de $ 100 millones con el ataque de ransomware. En septiembre de 2020, el grupo depositó $ 1 millón en bitcoins en un foro de hackers en un intento de reclutar hackers talentosos como “colaboradores”, informó BleepingComputer.


Grupos criminales que roban datos, extorsionan y hacen falsas promesas

A principios de octubre de 2020, el especialista en respuesta a incidentes de ransomware Coveware informó que Reville / Sodinokibi tenía la mayor proporción de ransomware en el tercer trimestre de 2020 con una tasa de infección del 16%. También ocupó el primer lugar en el segundo trimestre de 2020. Casi la mitad de los casos de ransomware investigados por Coveware amenazaban con liberar datos robados, y la cantidad de grupos que se aprovechan de la amenaza también ha aumentado.

“Las estrategias de extorsión de datos han llegado a un punto crítico”, dijo Coveware. “Aunque algunas empresas optan por pagar a los actores de amenazas para que no revelen sus datos robados, Coveware no teme fallar en la promesa del ciberdelincuente de deshacerse de sus datos. Lo vi ”, dijo.

En particular, Coveware ha visto a víctimas que ya pagaron por ello siendo amenazadas nuevamente con los mismos datos publicados semanas después. Otros grupos criminales también rompieron sus promesas y proporcionaron pruebas falsas de que habían revelado o eliminado los datos de las empresas víctimas que pagaron el dinero.

“A diferencia de las negociaciones sobre claves de descifrado, las negociaciones privadas para datos robados no tienen una conclusión definitiva”, dijo Coveware. Sin embargo, con datos robados, los actores de amenazas pueden regresar en cualquier momento en el futuro por dinero. Ya se están acumulando pruebas de que el historial de esto es demasiado corto y que el incumplimiento es selectivo “, investigue qué datos han sido robados y haga las notificaciones necesarias de acuerdo con tales investigaciones y consultas.

Reville’s Unknown dijo a los bloggers rusos que también estaba considerando introducir otras técnicas. Por ejemplo, al lanzar una Denegación de servicio distribuida (DDoS) para presionar a las empresas a retrasar las negociaciones.


Cómo actúa Revil

Revil es uno de los programas de ransomware controlados por humanos, similar a Ryuk y WastedLocker. Después de una intrusión exitosa, los atacantes utilizan una variedad de herramientas y técnicas para mapear redes, realizar movimientos laterales, obtener privilegios de administrador de dominio e implementar ransomware en todas las computadoras para maximizar el impacto.

Dado que el nivel es difundido por varios ‘colaboradores’, la ruta de acceso inicial varía. En otras palabras, correos electrónicos de phishing con archivos adjuntos de malware, certificados de Protocolo de escritorio remoto (RDP) comprometidos y explotación de vulnerabilidades en muchos servicios públicos. Por ejemplo, en 2019, los atacantes de Revil explotaron una vulnerabilidad conocida en Oracle Weblogic para obtener acceso a los sistemas (CVE-2019-2725).

Según el informe de Coveware, actualmente Revil se distribuye principalmente a través de sesiones de RDP pirateadas (65%), phishing (16%) y vulnerabilidades de software (8%). ‘Desconocido’ también dijo en una entrevista que hay muchos ‘colaboradores’ de Revil que usan ataques de fuerza bruta para hackear RDP.

Revil se diferencia de otros programas de ransomware en que cifra los archivos mediante el intercambio de claves Diffie-Hellman, un algoritmo de curva elíptica en lugar de RSA y Salsa 20 en lugar de AES. Estos algoritmos criptográficos utilizan claves cortas y son muy eficientes y, si se implementan correctamente, irrompibles.

El ransomware Revil detiene el proceso en la máquina infectada. Los ejemplos incluyen clientes de correo electrónico, SQL y otros servidores de bases de datos, programas de Microsoft Office, navegadores y herramientas para bloquear o defender archivos críticos con RAM. Después de eso, elimina las instantáneas de Windows y otras copias de seguridad para evitar la recuperación de archivos.


Cómo defender a Reville

Las empresas siempre deben complementar el acceso remoto con certificados sólidos y autenticación de dos factores, y deben considerar limitarlos a las VPN. Los servidores, las aplicaciones y los dispositivos expuestos al público deben actualizarse continuamente e inspeccionarse periódicamente para detectar vulnerabilidades, configuraciones incorrectas y comportamientos sospechosos. Siempre que sea posible, también se debe implementar la protección contra ataques de fuerza bruta, que bloquea los intentos de inicio de sesión excesivos con credenciales falsas.
En la red local, realice las siguientes acciones.
  • Bloquea la comunicación innecesaria del bloque de mensajes del servidor (SMB) y la llamada a procedimiento remoto (RPC) entre los puntos finales que se pueden utilizar para el movimiento lateral
  • Supervisar las cuentas privilegiadas para detectar comportamientos sospechosos
  • Las estrictas reglas de control de acceso para carpetas y procesos reducen la superficie de ataque del endpoint
  • Uso compartido seguro de la red
  • Capacitar al personal sobre cómo detectar intentos de phishing
  • Implementar un proceso de copia de seguridad de datos que almacena copias de seguridad externamente y prueba las reversiones oportunas de las copias de seguridad.
  • Tener un plan claro de respuesta a incidentes para que se puedan tomar medidas inmediatamente cuando se detecte un ataque, especificando quiénes están involucrados y sus responsabilidades.

NIST ha publicado un borrador de guía para detectar y responder al ransomware. “Ciertas industrias, como la atención médica, tienen más probabilidades de ser atacadas que otras debido a sus datos confidenciales y su relativa vulnerabilidad a las interrupciones del sistema”, dijeron los investigadores de Coveware. La existencia es la razón por la que se produce el sesgo de la industria “.

Los investigadores de Coveware señalaron que los servicios profesionales como las oficinas legales o contables son particularmente vulnerables. Los 4,2 millones de empresas de servicios profesionales estadounidenses representan el 14% de las empresas estadounidenses, pero los ataques representan el 25%.

“Estas industrias tienden a tomar las amenazas de ransomware con menos seriedad”, dijo Coveware. A menudo dejan vulnerabilidades como RDP abiertas a Internet, lo que las hace más vulnerables que las empresas de otras industrias. Es muy importante comprender que las pequeñas empresas de servicios profesionales no están descartadas solo por ser pequeñas. El mundo de la explotación cibernética no funciona de esa manera. Si expone una vulnerabilidad fácil a Internet, será atacado. Es sólo cuestión de tiempo ”, advirtió. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!