REvil, noto anche come Sodinokibi, è un'offerta ransomware-as-a-service (RaaS) matura e ampiamente utilizzata. I ricercatori di Sophos hanno esaminato gli strumenti e i comportamenti che ritengono gli aggressori utilizzino più spesso per implementare un attacco REvil.
I clienti criminali possono noleggiare il ransomware dagli sviluppatori e posizionarlo sui computer delle loro vittime con i propri parametri. L'approccio specifico e l'impatto di un attacco ransomware REvil è quindi molto variabile, a seconda degli strumenti, dei comportamenti, delle risorse e delle competenze dell'aggressore che assume il malware.
REvil ransomware sotto il cofano
Andrew Brandt, Principal Researcher di Sophos, afferma: “Per essere un normale ransomware quotidiano che esiste solo da pochi anni, REvil/Sodinokibi riesce già a causare danni significativi e a richiedere milioni di dollari in pagamenti di riscatto. Il successo di REvil/Sodinokibi potrebbe essere dovuto in parte al fatto che, come offerta ransomware-as-a-service, ogni attacco è diverso. Ciò può rendere difficile per i difensori individuare le bandiere rosse a cui prestare attenzione.
Nell'articolo, i ricercatori Sophos dei SophosLabs e il team Sophos Rapid Response descrivono gli strumenti e i comportamenti che ritengono gli aggressori utilizzino più spesso per implementare un attacco REvil. Lo scopo del rapporto è fornire ai difensori informazioni su come identificare un attacco ransomware REvil minaccioso o in evoluzione e proteggere la loro organizzazione.
Strumenti di attacco ransomware REvil
- Attacchi di forza bruta contro noti servizi Internet come VPN, Remote Desktop Protocols (RDP), strumenti di gestione remota desktop come VNC e persino alcuni sistemi di gestione basati su cloud; Uso improprio delle credenziali ottenute tramite malware, phishing o semplicemente aggiungendole ad altri malware già presenti sulla rete del target.
- Raccolta delle credenziali ed escalation dei privilegi tramite Mimikatz per ottenere le credenziali di un amministratore di dominio.
- Preparare il terreno per il rilascio di ransomware disabilitando o eliminando i backup, tentando di disabilitare le tecnologie di sicurezza e identificando i computer di destinazione per la crittografia.
- Caricamento di grandi quantità di dati per l'esfiltrazione, anche se i ricercatori di Sophos lo hanno visto solo in circa la metà degli incidenti REvil/Sodonokibi esaminati. Nei casi di furto di dati, circa tre quarti hanno utilizzato Mega.nz come luogo di archiviazione (temporaneo) per i dati rubati.
- Riavviare il computer in modalità provvisoria prima di crittografare i dati per ignorare gli strumenti di protezione degli endpoint.
Per ulteriori informazioni sugli attacchi ransomware REvil/Sodinokibi e su come proteggersi, consultare l'articolo su SophosLabs Uncut.
Tenacia e penne straniere
Gli aggressori che distribuiscono REvil ransomware possono essere molto persistenti, secondo i risultati di Sophos Rapid Response. In un recente attacco REvil su cui il team ha indagato, i dati raccolti da un server compromesso hanno mostrato circa 35.000 tentativi di accesso falliti in un periodo di cinque minuti, originati da 349 indirizzi IP univoci da tutto il mondo. Inoltre, in almeno due attacchi REvil osservati dai ricercatori Sophos, il punto di ingresso iniziale era uno strumento lasciato indietro da un precedente attacco ransomware da parte di un altro utente malintenzionato.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.