Evolução do Ransomware REvil: Novas Táticas, Ganhos Impressionantes e Alvos de Alto Perfil
Índice:
A gangue REvil está por trás da enxurrada de ataques que têm como alvo grandes empresas nos EUA, Europa, África e América do Sul. Em março de 2021, operadores de ransomware reivindicaram quase uma dúzia de intrusões que resultaram no comprometimento de dados sensíveis. A lista de vítimas inclui escritórios de advocacia, empresas de construção, bancos internacionais e fornecedores de manufatura. De acordo com reportagens, Acer, Asteelflash e Tata Steel estão entre aqueles que recentemente sofreram com atividades maliciosas da REvil.
O que é o Ransomware REvil?
REvil (também conhecido como Evil, Sodinokibi) é uma das cepas de ransomware mais notórias e difundidas no cenário de ameaças cibernéticas. Após seu surgimento em abril de 2019, pesquisadores de segurança identificaram o REvil como o sucessor do GandCrab, com muitas linhas de código compartilhadas entre ambas as amostras de malware.
Atualmente, o REvil atua como uma ameaça ransomware-como-serviço (RaaS), contando com uma ampla rede de afiliados para distribuição. Em contrapartida, os desenvolvedores do REvil ganham 20-30% dos lucros em caso de ataque bem-sucedido. Recentemente, os mantenedores do ransomware uniram-se à lucrativa tendência de dupla extorsão em uma tentativa de aumentar os ganhos possíveis. Agora, os cibercriminosos não apenas criptografam dados sensíveis, mas também roubam detalhes confidenciais. Como resultado, apesar da capacidade de restaurar informações a partir de backups, as vítimas são pressionadas a pagar o resgate para prevenir o vazamento de dados. Além disso, para exercer máxima pressão, os desenvolvedores do REvil entram em contato com a mídia e parceiros comerciais da vítima para notificá-los sobre a intrusão em andamento.
Essas táticas de extorsão resultam em inúmeras vítimas e um impressionante ganho subsequente para os associados do REvil. Pesquisadores de segurança estimam que durante 2020 a notória gangue do REvil conseguiu ganhar mais de $100 milhões em ataques contra aproximadamente 150 fornecedores. De acordo com a IBM Security X-Force’s investigação, 36% das vítimas do REvil pagaram o resgate e 12% das vítimas tiveram seus dados sensíveis vendidos em um leilão na dark web durante 2019-2020.
Notavelmente, para o próximo ano, os mantenedores do ransomware afirmam uma meta ainda mais ambiciosa de $2 bilhões. No caminho para seus objetivos, os adversários estão procurando novos afiliados para sua rede maliciosa. Por exemplo, a gangue depositou $1 milhão em um fórum clandestino de língua russa.
Além disso, para fortalecer as capacidades maliciosas do REvil, os desenvolvedores recentemente adicionaram um novo recurso que permite à ameaça executar em modo seguro e reiniciar dispositivos Windows infectados após a intrusão. Tal inovação permite que o REvil evite a detecção por software antivírus e prossiga com infecções bem-sucedidas.
Vítimas mais recentes da REvil
Após seu surgimento em 2019, a gangue REvil atacou empresas líderes como Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Aeroporto Internacional de Albany, Kenneth Cole, e GEDIA Automotive Group. Mas a gangue de cibercriminosos não tem a intenção de reduzir suas ambições. As declarações mais recentes indicam que mais três empresas caíram vítimas da atividade do REvil.
No meio de março de 2021, os mantenedores do REvil atacaram Acer, um grande fabricante taiwanês de eletrônicos e computadores. Após a intrusão bem-sucedida, os cibercriminosos roubaram dados sensíveis e exigiram um resgate de $50 milhões para decriptação e prevenção de vazamento de dados.
Outro incidente estrondoso ocorreu no início de abril de 2021. Desta vez o REvil teve como alvo o produtor francês de eletrônicos Asteelflash, exigindo um resgate de $24 milhões. Embora a empresa não tenha divulgado oficialmente o incidente, pesquisadores de segurança conseguiram descobrir a página de negociação Tor para este ataque.
Finalmente, as notícias de 6 de abril de 2021 indicam que o grupo siderúrgico indiano Tata Steel também se tornou vítima do REvil, exigindo um resgate de $4 milhões para restauração dos dados.
Detectando ataques de ransomware REvil
Para detectar e prevenir possíveis ataques REvil, você pode baixar um conjunto de regras Sigma recentes lançadas por nossos desenvolvedores ativos do Threat Bounty.
Campanha de Malspam distribui IcedID e leva ao Ransomware REvil
Ransomware REvil tem um novo modo de criptografia ‘Modo Seguro do Windows’
Bypass de AntiVírus/EDR via Modo Seguro
Além disso, você pode explorar a lista completa de detecções do REvil disponível no Threat Detection Marketplace. Fique atento ao nosso blog para não perder as atualizações mais quentes.
Inscreva-se no Threat Detection Marketplace e acesse a primeira biblioteca de conteúdo SOC da indústria contendo 100K+ algoritmos de detecção e consultas de caça a ameaças para 23+ ferramentas de SIEM, EDR, e NTDR líderes de mercado. Mais de 300 colaboradores enriquecem nossa biblioteca global de conteúdo SOC a cada dia para possibilitar a detecção contínua das ameaças cibernéticas mais alarmantes nas fases mais iniciais do ciclo de vida do ataque. Deseja criar suas próprias regras #Sigma? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro!
