REvil, également connu sous le nom de Sodinokibi, est une offre de ransomware en tant que service (RaaS) mature et largement utilisée. Les chercheurs de Sophos ont examiné les outils et les comportements qu'ils pensent que les attaquants utilisent le plus souvent pour mettre en œuvre une attaque REvil.
Les clients criminels peuvent louer le ransomware auprès des développeurs et le placer sur les ordinateurs de leurs victimes avec leurs propres paramètres. L'approche et l'impact spécifiques d'une attaque de ransomware REvil sont donc très variables, en fonction des outils, des comportements, des ressources et des compétences de l'attaquant qui engage le malware.
Le rançongiciel REvil sous le capot
Andrew Brandt, chercheur principal chez Sophos, déclare : « Pour un rançongiciel ordinaire et quotidien qui n'existe que depuis quelques années, REvil/Sodinokibi parvient déjà à causer des dommages importants et à exiger des millions de dollars en paiements de rançon. Le succès de REvil/Sodinokibi peut être dû en partie au fait qu'en tant qu'offre de rançongiciel en tant que service, chaque attaque est différente. Cela peut rendre difficile pour les défenseurs de repérer les drapeaux rouges à surveiller.
Dans cet article, les chercheurs Sophos des SophosLabs et l'équipe Sophos Rapid Response décrivent les outils et les comportements qu'ils pensent que les attaquants utilisent le plus souvent pour mettre en œuvre une attaque REvil. L'objectif du rapport est de fournir aux défenseurs des informations sur la manière d'identifier une attaque de ransomware REvil menaçante ou évolutive et de protéger leur organisation.
Outils d'attaque du rançongiciel REvil
- Attaques par force brute contre des services Internet bien connus tels que VPN, Remote Desktop Protocols (RDP), des outils de gestion à distance de bureau tels que VNC et même certains systèmes de gestion basés sur le cloud ; Utilisation abusive d'informations d'identification obtenues via des logiciels malveillants, du phishing ou simplement en les ajoutant à d'autres logiciels malveillants déjà présents sur le réseau de la cible.
- Collecte d'informations d'identification et élévation des privilèges à l'aide de Mimikatz pour obtenir les informations d'identification d'un administrateur de domaine.
- Préparer le terrain pour la libération de ransomwares en désactivant ou en supprimant les sauvegardes, en essayant de désactiver les technologies de sécurité et en identifiant les ordinateurs cibles pour le chiffrement.
- Télécharger de grandes quantités de données pour l'exfiltration - bien que les chercheurs de Sophos n'aient vu cela que dans environ la moitié des incidents REvil/Sodonokibi examinés. Dans les cas de vol de données, environ les trois quarts ont utilisé Mega.nz comme emplacement de stockage (temporaire) pour les données volées.
- Redémarrez l'ordinateur en mode sans échec avant de chiffrer les données pour contourner les outils de protection des terminaux.
Pour plus d'informations sur les attaques de rançongiciel REvil/Sodinokibi et sur la manière de s'en protéger, consultez l'article sur SophosLabs Uncut.
Ténacité et plumes étrangères
Les attaquants qui déploient le rançongiciel REvil peuvent être très persistants, selon les conclusions de Sophos Rapid Response. Lors d'une récente attaque REvil sur laquelle l'équipe a enquêté, les données collectées à partir d'un serveur compromis ont montré environ 35.000 349 tentatives de connexion infructueuses sur une période de cinq minutes, provenant de XNUMX adresses IP uniques du monde entier. De plus, dans au moins deux attaques REvil observées par les chercheurs de Sophos, le point d'entrée initial était un outil abandonné par une précédente attaque de ransomware par un autre attaquant.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.