O REvil, também conhecido como Sodinokibi, é uma oferta de ransomware como serviço (RaaS) madura e amplamente usada. Os pesquisadores da Sophos analisaram as ferramentas e comportamentos que eles acreditam que os invasores usam com mais frequência para implementar um ataque REvil.
Os clientes criminosos podem alugar o ransomware dos desenvolvedores e colocá-lo nos computadores de suas vítimas com seus próprios parâmetros. A abordagem específica e o impacto de um ataque de ransomware REvil são, portanto, altamente variáveis, dependendo das ferramentas, comportamentos, recursos e habilidades do invasor que contrata o malware.
REvil ransomware sob o capô
Andrew Brandt, pesquisador principal da Sophos, diz: “Para um ransomware comum e comum que existe há apenas alguns anos, o REvil/Sodinokibi já consegue causar danos significativos e exigir milhões de dólares em pagamentos de resgate. O sucesso do REvil/Sodinokibi pode ser devido em parte ao fato de que, como uma oferta de ransomware como serviço, cada ataque é diferente. Isso pode tornar difícil para os defensores identificarem as bandeiras vermelhas a serem observadas.”
No artigo, os pesquisadores da Sophos da SophosLabs e a equipe Sophos Rapid Response descrevem as ferramentas e os comportamentos que eles acreditam que os invasores usam com mais frequência para implementar um ataque REvil. O objetivo do relatório é fornecer aos defensores informações sobre como identificar um ataque de ransomware REvil ameaçador ou em evolução e proteger sua organização.
Ferramentas de ataque de ransomware REvil
- Ataques de força bruta contra serviços de Internet conhecidos como VPN, protocolos de área de trabalho remota (RDP), ferramentas de gerenciamento remoto de área de trabalho como VNC e até mesmo alguns sistemas de gerenciamento baseados em nuvem; Uso indevido de credenciais obtidas por meio de malware, phishing ou simplesmente adicionando-as a outro malware já existente na rede do alvo.
- Coleta de credenciais e escalonamento de privilégios usando Mimikatz para obter as credenciais de um administrador de domínio.
- Preparando o cenário para a liberação de ransomware desativando ou excluindo backups, tentando desativar tecnologias de segurança e identificando computadores de destino para criptografia.
- Upload de grandes quantidades de dados para exfiltração - embora os pesquisadores da Sophos tenham visto isso apenas em cerca de metade dos incidentes REvil/Sodonokibi examinados. Em casos envolvendo roubo de dados, cerca de três quartos usaram o Mega.nz como um local de armazenamento (temporário) para os dados roubados.
- Reiniciar o computador no modo de segurança antes de criptografar os dados para ignorar as ferramentas de proteção de endpoint.
Para obter mais informações sobre os ataques de ransomware REvil/Sodinokibi e como se proteger contra eles, consulte o artigo no SophosLabs Uncut.
Tenacidade e penas estrangeiras
Os invasores que implantam o ransomware REvil podem ser muito persistentes, de acordo com as descobertas do Sophos Rapid Response. Em um recente ataque REvil que a equipe investigou, os dados coletados de um servidor comprometido mostraram aproximadamente 35.000 tentativas de login com falha em um período de cinco minutos, originadas de 349 endereços IP exclusivos de todo o mundo. Além disso, em pelo menos dois ataques do REvil observados pelos pesquisadores da Sophos, o ponto de entrada inicial foi uma ferramenta deixada para trás por um ataque de ransomware anterior de outro invasor.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.