REvil, також відомий як Sodinokibi, є зрілою та широко використовуваною пропозицією програми-вимагача як послуга (RaaS). Дослідники Sophos розглянули інструменти та способи поведінки, які, на їхню думку, найчастіше використовують зловмисники для реалізації атаки REvil.
Клієнти-злочинці можуть орендувати програми-вимагачі у розробників і розміщувати їх на комп’ютерах своїх жертв із власними параметрами. Конкретний підхід і вплив атаки програм-вимагачів REvil дуже різноманітні залежно від інструментів, поведінки, ресурсів і навичок зловмисника, який найняв шкідливе програмне забезпечення.
Програмне забезпечення-вимагач REvil під капотом
Ендрю Брандт, головний науковий співробітник Sophos, каже: «Для звичайної повсякденної програми-вимагача, яка існує лише кілька років, REvil/Sodinokibi вже встигла завдати значної шкоди та вимагати мільйони доларів викупу. Успіх REvil/Sodinokibi частково пояснюється тим фактом, що кожна атака є різною для програм-вимагачів як послуг. Через це захисникам буде важко помітити червоні прапорці, на які варто звернути увагу».
У статті дослідники Sophos з SophosLabs і команда Sophos Rapid Response описують інструменти та поведінку, які, на їхню думку, найчастіше використовують зловмисники для здійснення атаки REvil. Мета звіту — надати захисникам уявлення про те, як визначити загрозливу або розвивається атаку програм-вимагачів REvil і захистити свою організацію.
Інструменти атаки програм-вимагачів REvil
- Атаки грубої сили проти добре відомих Інтернет-сервісів, таких як VPN, протоколи віддаленого робочого столу (RDP), інструменти віддаленого керування робочим столом, такі як VNC, і навіть деякі хмарні системи керування; Зловживання обліковими даними, отриманими за допомогою зловмисного програмного забезпечення, фішингу або простого додавання їх до іншого зловмисного програмного забезпечення, яке вже є в мережі цілі.
- Збір облікових даних і підвищення привілеїв за допомогою Mimikatz для отримання облікових даних адміністратора домену.
- Створення основи для випуску програм-вимагачів шляхом вимкнення або видалення резервних копій, спроб відключення технологій безпеки та визначення цільових комп’ютерів для шифрування.
- Завантаження великих обсягів даних для ексфільтрації – хоча дослідники Sophos помітили це лише приблизно в половині досліджених інцидентів REvil/Sodonokibi. У випадках крадіжки даних приблизно три чверті використовували Mega.nz як (тимчасове) місце зберігання вкрадених даних.
- Перезавантаження комп’ютера в безпечний режим перед шифруванням даних для обходу засобів захисту кінцевої точки.
Для отримання додаткової інформації про атаки програм-вимагачів REvil/Sodinokibi та способи захисту від них див. статтю SophosLabs Uncut.
Завзятість і чуже пір'я
За даними Sophos Rapid Response, зловмисники, які встановлюють програми-вимагачі REvil, можуть бути дуже наполегливими. Під час нещодавньої атаки REvil, яку розслідувала команда, дані, зібрані з скомпрометованого сервера, показали приблизно 35.000 349 невдалих спроб входу протягом п’яти хвилин із XNUMX унікальних IP-адрес з усього світу. Крім того, принаймні у двох атаках REvil, які спостерігали дослідники Sophos, початковою точкою входу був інструмент, залишений після попередньої атаки програм-вимагачів іншим зловмисником.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.