L’evoluzione del ransomware REvil: nuove tattiche, guadagni impressionanti e bersagli di alto profilo
Indice:
Il gruppo REvil è responsabile della valanga di attacchi che prendono di mira grandi aziende negli Stati Uniti, in Europa, Africa e Sud America. A marzo 2021, gli operatori del ransomware hanno rivendicato quasi una dozzina di intrusioni che hanno portato alla compromissione di dati sensibili. L’elenco delle vittime include studi legali, societĂ di costruzione, banche internazionali e fornitori produttivi. Secondo i rapporti, Acer, Asteelflash e Tata Steel sono tra coloro che hanno recentemente subito attivitĂ dannose da parte di REvil.
Che cos’è il ransomware REvil?
REvil (anche noto come Evil, Sodinokibi) è uno dei ceppi di ransomware piĂą famosi e diffusi nell’arena delle minacce informatiche. Dopo la sua comparsa nell’aprile 2019, i ricercatori di sicurezza hanno identificato REvil come il successore del GandCrab, con molti ceppi di codice condivisi tra entrambi i campioni di malware.
Attualmente, REvil agisce come una minaccia ransomware-as-a-service (RaaS), affidandosi alla vasta rete di affiliati per la distribuzione. A sua volta, gli sviluppatori di REvil guadagnano il 20-30% dei proventi in caso di attacco riuscito. Recentemente, i gestori del ransomware si sono uniti alla redditizia tendenza del doppio ricatto nel tentativo di aumentare i guadagni possibili. Ora, i criminali informatici non solo crittografano i dati sensibili ma rubano anche dettagli riservati. Di conseguenza, nonostante la capacitĂ di ripristinare le informazioni dai backup, le vittime sono spinte a pagare il riscatto per prevenire la fuga dei dati. Inoltre, per mettere la massima pressione, gli sviluppatori di REvil contattano i media e i partner commerciali delle vittime per informarli dell’intrusione in corso.
Tali tattiche di estorsione si traducono in numerose vittime e in un impressionante ammontare di guadagni successivi per gli associati di REvil. I ricercatori di sicurezza stimano che durante il 2020 il famigerato gruppo REvil sia riuscito a guadagnare piĂą di 100 milioni di dollari durante gli attacchi contro circa 150 fornitori. Secondo IBM Security X-Force indagine, il 36% delle vittime di REvil ha pagato il riscatto e il 12% delle vittime ha avuto i propri dati sensibili venduti in un’asta nel dark web durante il 2019-2020.
Notoriamente, per il prossimo anno, i gestori del ransomware dichiarano un obiettivo ancora piĂą ambizioso di 2 miliardi di dollari. Sulla strada verso i loro obiettivi, gli avversari cercano nuovi affiliati alla loro rete dannosa. Ad esempio, il gruppo ha depositato 1 milione di dollari in un forum clandestino di lingua russa.
Inoltre, per rafforzare le capacitĂ dannose di REvil, gli sviluppatori hanno recentemente aggiunto una nuova funzionalitĂ che permette alla minaccia di funzionare in modalitĂ sicura e riavviare i dispositivi Windows infetti dopo l’intrusione. Tale innovazione permette a REvil di eludere il rilevamento da parte del software antivirus e di procedere con infezioni di successo.
Ultime vittime di REvil
Dopo essere emerso nel 2019, il gruppo REvil ha attaccato aziende leader come Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Aeroporto Internazionale di Albany, Kenneth Cole, e GEDIA Automotive Group. Ma il gruppo di criminali informatici non ha intenzione di ridurre le proprie ambizioni. Le dichiarazioni di notizie piĂą recenti indicano che altre tre aziende sono cadute vittime dell’attivitĂ di REvil.
A metĂ marzo 2021, i gestori di REvil hanno attaccato Acer, un importante produttore taiwanese di elettronica e computer. Dopo l’intrusione riuscita, i criminali informatici hanno rubato dati sensibili e hanno richiesto un riscatto di 50 milioni di dollari per la decrittazione e la prevenzione della fuga dei dati.
Un altro incidente clamoroso è scoppiato all’inizio di aprile 2021. Questa volta REvil ha preso di mira il produttore di elettronica francese Asteelflash, richiedendo un riscatto di 24 milioni di dollari. Anche se la societĂ non ha ufficialmente divulgato l’incidente, i ricercatori di sicurezza sono riusciti a scoprire la pagina di negoziazione Tor per questo attacco.
Infine, rapporti di notizie del 6 aprile 2021 indicano che il gruppo siderurgico indiano Tata Steel è diventato anche una vittima di REvil, chiedendo un riscatto di 4 milioni di dollari per il ripristino dei dati.
Rilevamento degli attacchi ransomware REvil
Per rilevare e prevenire possibili attacchi REvil, puoi scaricare un set di regole Sigma fresche rilasciate dai nostri sviluppatori attivi del programma Threat Bounty.
Campagna Malspam che distribuisce IcedID e porta al ransomware REvil
Il ransomware REvil ha una nuova modalitĂ di crittografia ‘Windows Safe Mode’
Bypass dell’Antivirus/EDR tramite modalitĂ sicura
Inoltre, puoi esplorare la lista completa delle rilevazioni di REvil disponibile nel Threat Detection Marketplace. Resta sintonizzato sul nostro blog per non perdere gli aggiornamenti piĂą interessanti.
Iscriviti al Threat Detection Marketplace e accedi alla prima libreria di contenuti SOC del settore contenente oltre 100.000 algoritmi di rilevamento e query di threat hunting per piĂą di 23 strumenti SIEM, EDR e NTDR leader di mercato. Oltre 300 collaboratori arricchiscono quotidianamente la nostra libreria di contenuti SOC globale per consentire la rilevazione continua delle minacce informatiche piĂą allarmanti nelle prime fasi del ciclo di vita degli attacchi. Desideroso di creare le tue regole #Sigma? Unisciti al nostro Programma Threat Bounty per un futuro piĂą sicuro!
