Die Evolution der REvil Ransomware: Neue Taktiken, Beeindruckende Gewinne und Hochkarätige Ziele
Inhaltsverzeichnis:
Die REvil-Bande steht hinter der Flut von Angriffen, die große Unternehmen in den USA, Europa, Afrika und Südamerika ins Visier nehmen. Im März 2021 behaupteten Ransomware-Operatoren fast ein Dutzend Einbrüche, die zu einer Kompromittierung sensibler Daten führten. Die Liste der Opfer umfasst Anwaltskanzleien, Bauunternehmen, internationale Banken und Hersteller. Laut Nachrichtenberichten gehören Acer, Asteelflash und Tata Steel zu denjenigen, die kürzlich unter der bösartigen Aktivität von REvil gelitten haben.
Was ist REvil-Ransomware?
REvil (auch bekannt als Evil, Sodinokibi) ist eine der berüchtigtsten und verbreitetsten Ransomware-Stämme in der Cyber-Bedrohungslandschaft. Nach seinem Auftauchen im April 2019 identifizierten Sicherheitsforscher REvil als Nachfolger von GandCrab, wobei viele Code-Stämme zwischen beiden Malware-Beispielen geteilt wurden.
Derzeit agiert REvil als Ransomware-as-a-Service (RaaS) Bedrohung, die sich für die Verbreitung auf ein breites Netzwerk von Partnern stützt. Im Gegenzug verdienen die REvil-Entwickler 20-30% der Einnahmen im Falle eines erfolgreichen Angriffs. Kürzlich schlossen sich die Ransomware-Betreiber dem lukrativen Doppelerpressungstrend an, um die möglichen Gewinne zu erhöhen. Nun verschlüsseln Cyberkriminelle nicht nur sensible Daten, sondern stehlen auch vertrauliche Informationen. Infolgedessen werden die Opfer trotz der Möglichkeit, Informationen aus Backups wiederherzustellen, dazu gedrängt, das Lösegeld zu zahlen, um die Datenlecks zu verhindern. Darüber hinaus kontaktieren die REvil-Entwickler die Medien und Geschäftspartner der Opfer, um sie über den laufenden Einbruch zu informieren, um maximalen Druck auszuüben.
Solche Erpressungstaktiken führen zu zahlreichen Opfern und einem beeindruckenden Betrag an anschließenden Gewinnen für die REvil-Verbündeten. Sicherheitsforscher schätzen, dass die berüchtigte REvil-Bande während Angriffe auf etwa 150 Anbieter im Jahr 2020 mehr als 100 Millionen US-Dollar verdient hat. Laut der IBM Security X-Force Untersuchung, zahlten 36% der REvil-Opfer das Lösegeld, und 12% der Opfer hatten im Zeitraum 2019-2020 ihre sensiblen Daten in einer Auktion im Dark Web verkauft.
Bemerkenswerterweise haben die Ransomware-Betreiber für das nächste Jahr ein noch ehrgeizigeres Ziel von 2 Milliarden US-Dollar. Auf dem Weg zu ihren Zielen suchen die Angreifer nach neuen Partnern für ihr bösartiges Netzwerk. Zum Beispiel hat die Bande 1 Million US-Dollar in einem russischsprachigen Untergrundforum hinterlegt. $1 million on a Russian-speaking underground forum.
Um die bösartigen Fähigkeiten von REvil zu stärken, haben die Entwickler kürzlich eine neue Funktion hinzugefügt , die es der Bedrohung ermöglicht, im abgesicherten Modus ausgeführt zu werden und infizierte Windows-Geräte nach dem Einbruch neu zu starten. Diese Innovation erlaubt es REvil, der Erkennung durch Antivirensoftware zu entkommen und erfolgreiche Infektionen fortzusetzen.
Neueste REvil-Opfer
Nach seinem Auftauchen im Jahr 2019 griff die REvil-Bande führende Unternehmen wie Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Flughafen Albany International, Kenneth Cole, und GEDIA Automotive Group. Aber die Cyberkriminalbande hat keine Absicht, ihre Ambitionen zu reduzieren. Die neuesten Nachrichtenberichte zeigen, dass drei weitere Unternehmen Opfer der Aktivitäten von REvil geworden sind.
Mitte März 2021 griffen REvil-Betreiber Acer, einen großen taiwanesischen Elektronik- und Computerhersteller, an. Nach dem erfolgreichen Einbruch stahlen Cyberkriminelle sensible Daten und forderten ein Lösegeld von 50 Millionen US-Dollar für die Entschlüsselung und Verhinderung von Datenlecks.
Ein weiterer lauter Vorfall begann Anfang April 2021. Dieses Mal richtete sich REvil gegen den französischen Elektronikproduzenten Asteelflash, und forderte ein Lösegeld von 24 Millionen US-Dollar. Obwohl das Unternehmen den Vorfall nicht offiziell bekannt gegeben hat, gelang es Sicherheitsforschern, die Tor-Verhandlungsseite für diesen Angriff zu entdecken.
Schließlich weisen die Nachrichtenberichte vom 6. April 2021 darauf hin, dass die indische Stahlgruppe Tata Steel ebenfalls Opfer von REvil geworden ist, wobei ein Lösegeld von 4 Millionen US-Dollar für die Wiederherstellung der Daten gefordert wurde.
Erkennung von REvil-Ransomware-Angriffen
Um mögliche REvil-Angriffe zu erkennen und zu verhindern, können Sie ein Set von frischen Sigma-Regeln herunterladen, die von unseren aktiven Threat Bounty-Entwicklern veröffentlicht wurden.
Malspam-Kampagne setzt IcedID ein und führt zu REvil-Ransomware
REvil-Ransomware hat einen neuen ‚Windows Safe Mode‘-Verschlüsselungsmodus
Umgehung von Antivirus/EDR im abgesicherten Modus
Außerdem können Sie die vollständige Liste der REvil-Erkennungen im Threat Detection Marketplace erkunden. Bleiben Sie auf unserem Blog auf dem Laufenden, um die heißesten Neuigkeiten nicht zu verpassen.
Registrieren Sie sich im Threat Detection Marketplace und erreichen Sie die branchenweit erste SOC-Inhaltsbibliothek mit über 100.000 Erkennungsalgorithmen und Bedrohungsjagd-Abfragen für mehr als 23 marktführende SIEM-, EDR- und NTDR-Tools. Über 300 Mitwirkende bereichern unsere globale SOC-Inhaltsbibliothek täglich, um eine kontinuierliche Erkennung der alarmierendsten Cyber-Bedrohungen in den frühesten Phasen des Angriffszyklus zu ermöglichen. Möchten Sie Ihre eigenen #Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm für eine sichere Zukunft bei!
