L’evoluzione del ransomware REvil: nuove tattiche, guadagni impressionanti e bersagli di alto profilo
Indice:
Il gruppo REvil è responsabile della valanga di attacchi che prendono di mira grandi aziende negli Stati Uniti, in Europa, Africa e Sud America. A marzo 2021, gli operatori del ransomware hanno rivendicato quasi una dozzina di intrusioni che hanno portato alla compromissione di dati sensibili. L’elenco delle vittime include studi legali, società di costruzione, banche internazionali e fornitori produttivi. Secondo i rapporti, Acer, Asteelflash e Tata Steel sono tra coloro che hanno recentemente subito attività dannose da parte di REvil.
Che cos’è il ransomware REvil?
REvil (anche noto come Evil, Sodinokibi) è uno dei ceppi di ransomware più famosi e diffusi nell’arena delle minacce informatiche. Dopo la sua comparsa nell’aprile 2019, i ricercatori di sicurezza hanno identificato REvil come il successore del GandCrab, con molti ceppi di codice condivisi tra entrambi i campioni di malware.
Attualmente, REvil agisce come una minaccia ransomware-as-a-service (RaaS), affidandosi alla vasta rete di affiliati per la distribuzione. A sua volta, gli sviluppatori di REvil guadagnano il 20-30% dei proventi in caso di attacco riuscito. Recentemente, i gestori del ransomware si sono uniti alla redditizia tendenza del doppio ricatto nel tentativo di aumentare i guadagni possibili. Ora, i criminali informatici non solo crittografano i dati sensibili ma rubano anche dettagli riservati. Di conseguenza, nonostante la capacità di ripristinare le informazioni dai backup, le vittime sono spinte a pagare il riscatto per prevenire la fuga dei dati. Inoltre, per mettere la massima pressione, gli sviluppatori di REvil contattano i media e i partner commerciali delle vittime per informarli dell’intrusione in corso.
Tali tattiche di estorsione si traducono in numerose vittime e in un impressionante ammontare di guadagni successivi per gli associati di REvil. I ricercatori di sicurezza stimano che durante il 2020 il famigerato gruppo REvil sia riuscito a guadagnare più di 100 milioni di dollari durante gli attacchi contro circa 150 fornitori. Secondo IBM Security X-Force indagine, il 36% delle vittime di REvil ha pagato il riscatto e il 12% delle vittime ha avuto i propri dati sensibili venduti in un’asta nel dark web durante il 2019-2020.
Notoriamente, per il prossimo anno, i gestori del ransomware dichiarano un obiettivo ancora più ambizioso di 2 miliardi di dollari. Sulla strada verso i loro obiettivi, gli avversari cercano nuovi affiliati alla loro rete dannosa. Ad esempio, il gruppo ha depositato 1 milione di dollari in un forum clandestino di lingua russa.
Inoltre, per rafforzare le capacità dannose di REvil, gli sviluppatori hanno recentemente aggiunto una nuova funzionalità che permette alla minaccia di funzionare in modalità sicura e riavviare i dispositivi Windows infetti dopo l’intrusione. Tale innovazione permette a REvil di eludere il rilevamento da parte del software antivirus e di procedere con infezioni di successo.
Ultime vittime di REvil
Dopo essere emerso nel 2019, il gruppo REvil ha attaccato aziende leader come Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Aeroporto Internazionale di Albany, Kenneth Cole, e GEDIA Automotive Group. Ma il gruppo di criminali informatici non ha intenzione di ridurre le proprie ambizioni. Le dichiarazioni di notizie più recenti indicano che altre tre aziende sono cadute vittime dell’attività di REvil.
A metà marzo 2021, i gestori di REvil hanno attaccato Acer, un importante produttore taiwanese di elettronica e computer. Dopo l’intrusione riuscita, i criminali informatici hanno rubato dati sensibili e hanno richiesto un riscatto di 50 milioni di dollari per la decrittazione e la prevenzione della fuga dei dati.
Un altro incidente clamoroso è scoppiato all’inizio di aprile 2021. Questa volta REvil ha preso di mira il produttore di elettronica francese Asteelflash, richiedendo un riscatto di 24 milioni di dollari. Anche se la società non ha ufficialmente divulgato l’incidente, i ricercatori di sicurezza sono riusciti a scoprire la pagina di negoziazione Tor per questo attacco.
Infine, rapporti di notizie del 6 aprile 2021 indicano che il gruppo siderurgico indiano Tata Steel è diventato anche una vittima di REvil, chiedendo un riscatto di 4 milioni di dollari per il ripristino dei dati.
Rilevamento degli attacchi ransomware REvil
Per rilevare e prevenire possibili attacchi REvil, puoi scaricare un set di regole Sigma fresche rilasciate dai nostri sviluppatori attivi del programma Threat Bounty.
Campagna Malspam che distribuisce IcedID e porta al ransomware REvil
Il ransomware REvil ha una nuova modalità di crittografia ‘Windows Safe Mode’
Bypass dell’Antivirus/EDR tramite modalità sicura
Inoltre, puoi esplorare la lista completa delle rilevazioni di REvil disponibile nel Threat Detection Marketplace. Resta sintonizzato sul nostro blog per non perdere gli aggiornamenti più interessanti.
Iscriviti al Threat Detection Marketplace e accedi alla prima libreria di contenuti SOC del settore contenente oltre 100.000 algoritmi di rilevamento e query di threat hunting per più di 23 strumenti SIEM, EDR e NTDR leader di mercato. Oltre 300 collaboratori arricchiscono quotidianamente la nostra libreria di contenuti SOC globale per consentire la rilevazione continua delle minacce informatiche più allarmanti nelle prime fasi del ciclo di vita degli attacchi. Desideroso di creare le tue regole #Sigma? Unisciti al nostro Programma Threat Bounty per un futuro più sicuro!
