REvil, también conocido como Sodinokibi, es una oferta de ransomware como servicio (RaaS) madura y ampliamente utilizada. Los investigadores de Sophos analizaron las herramientas y los comportamientos que creen que los atacantes utilizan con mayor frecuencia para implementar un ataque REvil.
Los clientes criminales pueden arrendar el ransomware de los desarrolladores y colocarlo en las computadoras de sus víctimas con sus propios parámetros. Por lo tanto, el enfoque específico y el impacto de un ataque de ransomware REvil son muy variables, según las herramientas, los comportamientos, los recursos y las habilidades del atacante que contrata el malware.
ransomware REvil bajo el capó
Andrew Brandt, investigador principal de Sophos, dice: “Para un ransomware ordinario y cotidiano que solo existe desde hace unos años, REvil/Sodinokibi ya logra causar daños significativos y exige millones de dólares en pagos de rescate. El éxito de REvil/Sodinokibi puede deberse en parte al hecho de que, como oferta de ransomware como servicio, cada ataque es diferente. Eso puede dificultar que los defensores detecten las banderas rojas a las que deben prestar atención”.
En el artículo, los investigadores de Sophos de SophosLabs y el equipo de respuesta rápida de Sophos describen las herramientas y los comportamientos que creen que los atacantes usan con mayor frecuencia para implementar un ataque REvil. El propósito del informe es proporcionar a los defensores información sobre cómo identificar un ataque de ransomware REvil amenazante o en evolución y proteger su organización.
Herramientas de ataque de ransomware REvil
- Ataques de fuerza bruta contra servicios de Internet conocidos como VPN, protocolos de escritorio remoto (RDP), herramientas de administración remota de escritorio como VNC e incluso algunos sistemas de administración basados en la nube; Uso indebido de credenciales obtenidas a través de malware, phishing o simplemente añadiéndolas a otro malware que ya se encuentra en la red del objetivo.
- Recolección de credenciales y escalada de privilegios usando Mimikatz para obtener las credenciales de un administrador de dominio.
- Preparando el escenario para la liberación de ransomware al deshabilitar o eliminar las copias de seguridad, intentar deshabilitar las tecnologías de seguridad e identificar las computadoras de destino para el cifrado.
- Cargar grandes cantidades de datos para exfiltración, aunque los investigadores de Sophos solo vieron esto en aproximadamente la mitad de los incidentes de REvil/Sodonokibi examinados. En los casos relacionados con el robo de datos, alrededor de las tres cuartas partes usaron Mega.nz como ubicación de almacenamiento (temporal) para los datos robados.
- Reiniciar la computadora en modo seguro antes de cifrar los datos para evitar las herramientas de protección de puntos finales.
Para obtener más información sobre los ataques de ransomware REvil/Sodinokibi y cómo protegerse contra ellos, consulte el artículo sobre SophosLabs Uncut.
Tenacidad y plumas extranjeras
Los atacantes que implementan el ransomware REvil pueden ser muy persistentes, según los hallazgos de Sophos Rapid Response. En un ataque reciente de REvil que investigó el equipo, los datos recopilados de un servidor comprometido mostraron aproximadamente 35.000 349 intentos de inicio de sesión fallidos durante un período de cinco minutos, originados en XNUMX direcciones IP únicas de todo el mundo. Además, en al menos dos ataques de REvil observados por los investigadores de Sophos, el punto de entrada inicial fue una herramienta dejada atrás por un ataque de ransomware anterior por parte de otro atacante.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.