Pesquisa: ransomware REvil investigado

5. julho 2021
| Sem comentários
Notícias Sophos

Compartilhar postagem

O REvil, também conhecido como Sodinokibi, é uma oferta de ransomware como serviço (RaaS) madura e amplamente usada. Os pesquisadores da Sophos analisaram as ferramentas e comportamentos que eles acreditam que os invasores usam com mais frequência para implementar um ataque REvil.

Os clientes criminosos podem alugar o ransomware dos desenvolvedores e colocá-lo nos computadores de suas vítimas com seus próprios parâmetros. A abordagem específica e o impacto de um ataque de ransomware REvil são, portanto, altamente variáveis, dependendo das ferramentas, comportamentos, recursos e habilidades do invasor que contrata o malware.

REvil ransomware sob o capô

Andrew Brandt, pesquisador principal da Sophos, diz: “Para um ransomware comum e comum que existe há apenas alguns anos, o REvil/Sodinokibi já consegue causar danos significativos e exigir milhões de dólares em pagamentos de resgate. O sucesso do REvil/Sodinokibi pode ser devido em parte ao fato de que, como uma oferta de ransomware como serviço, cada ataque é diferente. Isso pode tornar difícil para os defensores identificarem as bandeiras vermelhas a serem observadas.”

No artigo, os pesquisadores da Sophos da SophosLabs e a equipe Sophos Rapid Response descrevem as ferramentas e os comportamentos que eles acreditam que os invasores usam com mais frequência para implementar um ataque REvil. O objetivo do relatório é fornecer aos defensores informações sobre como identificar um ataque de ransomware REvil ameaçador ou em evolução e proteger sua organização.

Ferramentas de ataque de ransomware REvil

  • Ataques de força bruta contra serviços de Internet conhecidos como VPN, protocolos de área de trabalho remota (RDP), ferramentas de gerenciamento remoto de área de trabalho como VNC e até mesmo alguns sistemas de gerenciamento baseados em nuvem; Uso indevido de credenciais obtidas por meio de malware, phishing ou simplesmente adicionando-as a outro malware já existente na rede do alvo.
  • Coleta de credenciais e escalonamento de privilégios usando Mimikatz para obter as credenciais de um administrador de domínio.
  • Preparando o cenário para a liberação de ransomware desativando ou excluindo backups, tentando desativar tecnologias de segurança e identificando computadores de destino para criptografia.
  • Upload de grandes quantidades de dados para exfiltração - embora os pesquisadores da Sophos tenham visto isso apenas em cerca de metade dos incidentes REvil/Sodonokibi examinados. Em casos envolvendo roubo de dados, cerca de três quartos usaram o Mega.nz como um local de armazenamento (temporário) para os dados roubados.
  • Reiniciar o computador no modo de segurança antes de criptografar os dados para ignorar as ferramentas de proteção de endpoint.

Para obter mais informações sobre os ataques de ransomware REvil/Sodinokibi e como se proteger contra eles, consulte o artigo no SophosLabs Uncut.

Tenacidade e penas estrangeiras

Os invasores que implantam o ransomware REvil podem ser muito persistentes, de acordo com as descobertas do Sophos Rapid Response. Em um recente ataque REvil que a equipe investigou, os dados coletados de um servidor comprometido mostraram aproximadamente 35.000 tentativas de login com falha em um período de cinco minutos, originadas de 349 endereços IP exclusivos de todo o mundo. Além disso, em pelo menos dois ataques do REvil observados pelos pesquisadores da Sophos, o ponto de entrada inicial foi uma ferramenta deixada para trás por um ataque de ransomware anterior de outro invasor.

Mais em Sophos.com

 

Sobre a Sophos

A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

notícias curtas, Sophos
, , , ,