Evolución del Ransomware REvil: Nuevas Tácticas, Ganancias Impresionantes y Objetivos de Alto Perfil
Tabla de contenidos:
La banda REvil está detrás de la avalancha de ataques dirigidos a grandes empresas en los EE. UU., Europa, África y América del Sur. En marzo de 2021, los operadores de ransomware reclamaron casi una docena de intrusiones que resultaron en compromisos de datos sensibles. La lista de víctimas incluye bufetes de abogados, empresas de construcción, bancos internacionales y proveedores de manufactura. Según los informes de noticias, Acer, Asteelflash y Tata Steel están entre los que recientemente sufrieron la actividad maliciosa de REvil.
¿Qué es el Ransomware REvil?
REvil (también conocido como Evil, Sodinokibi) es uno de los tipos de ransomware más notorios y extendidos en el ámbito de las amenazas cibernéticas. Tras su aparición en abril de 2019, los investigadores de seguridad identificaron a REvil como el sucesor de GandCrab, compartiendo numerosas líneas de código entre ambas muestras de malware.
Actualmente, REvil actúa como una amenaza de ransomware como servicio (RaaS), confiando en una amplia red de afiliados para su distribución. A cambio, los desarrolladores de REvil ganan un 20-30% de los ingresos en caso de un ataque exitoso. Recientemente, los mantenedores del ransomware se unieron a la lucrativa tendencia de doble extorsión en un intento de aumentar las ganancias posibles. Ahora, los ciberdelincuentes no solo encriptan datos sensibles, sino que también roban detalles confidenciales. Como resultado, a pesar de la capacidad de restaurar información de copias de seguridad, las víctimas se ven obligadas a pagar el rescate para evitar la filtración de datos. Además, para ejercer la máxima presión, los desarrolladores de REvil contactan a los medios de comunicación y socios comerciales de la víctima para informarles sobre la intrusión en curso.
Tales tácticas de extorsión resultan en numerosas víctimas y una impresionante cantidad de ganancias subsecuentes para los asociados de REvil. Los investigadores de seguridad estiman que durante 2020, la notoria banda REvil logró ganar más de $100 millones durante ataques contra aproximadamente 150 proveedores. Según la investigación, el 36% de las víctimas de REvil pagaron el rescate, y el 12% de las víctimas vieron sus datos sensibles vendidos en una subasta en la dark web durante 2019-2020.
Notablemente, para el próximo año, los mantenedores del ransomware afirman un objetivo aún más ambicioso de $2 mil millones. En el camino hacia sus objetivos, los adversarios están buscando nuevos afiliados para su red maliciosa. Por ejemplo, la banda depositó $1 millón en un foro clandestino de habla rusa.
Además, para reforzar las capacidades maliciosas de REvil, los desarrolladores han añadido una nueva función que permite a la amenaza ejecutarse en modo seguro y reiniciar dispositivos Windows infectados luego de la intrusión. Tal innovación permite a REvil evadir la detección por software antivirus y continuar con infecciones exitosas.
Últimas Víctimas de REvil
Después de que apareció en 2019, la banda REvil atacó a empresas líderes como Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Aeropuerto Internacional de Albany, Kenneth Cole, y GEDIA Automotive Group. Pero la banda de ciberdelincuentes no tiene intención de reducir sus ambiciones. Las declaraciones de noticias más recientes indican que tres negocios más han caído víctimas de la actividad de REvil.
A mediados de marzo de 2021, los mantenedores de REvil atacaron a Acer, un importante fabricante taiwanés de electrónica y computadoras. Después de la intrusión exitosa, los ciberdelincuentes robaron datos sensibles y exigieron un rescate de $50 millones para la desinfección y prevención de filtraciones de datos.
Otro incidente sonado ocurrió a principios de abril de 2021. Esta vez REvil apuntó al productor francés de electrónica Asteelflash, demandando un rescate de $24 millones. Aunque la empresa no ha revelado oficialmente el incidente, los investigadores de seguridad lograron descubrir la página de negociación en Tor para este ataque.
Finalmente, los informes de noticias del 6 de abril de 2021 indican que el grupo siderúrgico indio Tata Steel también se convirtió en víctima de REvil, exigiendo un rescate de $4 millones para la restauración de datos.
Detectando Ataques de Ransomware REvil
Para detectar y prevenir posibles ataques de REvil, puede descargar un conjunto de reglas Sigma recientes lanzadas por nuestros desarrolladores activos de Threat Bounty.
Campaña de Malspam Lanza IcedID y Conduce a Ransomware REvil
Ransomware REvil Tiene un Nuevo Modo de Encriptación ‘Modo Seguro de Windows’
Bypass de Antivirus/EDR a través de Modo Seguro
Además, puede explorar la lista completa de detecciones de REvil disponible en el Marketplace de Detección de Amenazas. Manténgase al tanto de nuestro blog para no perderse las actualizaciones más calientes.
Regístrese en el Marketplace de Detección de Amenazas y acceda a la primera biblioteca de contenido SOC de la industria que contiene más de 100K algoritmos de detección y consultas de caza de amenazas para más de 23 herramientas líderes del mercado SIEM, EDR y NTDR. Más de 300 colaboradores enriquecen nuestra biblioteca de contenido SOC global cada día para permitir una detección continua de las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Ansioso por crear sus propias reglas #Sigma? ¡Únase a nuestro Programa de Recompensas de Amenazas para un futuro más seguro!
