REvil se ha convertido en uno de los operadores de ransomware más notorios del mundo. En los últimos tiempos, extrajo un pago de 11 millones de dólares de la compañía de envasado de carne más grande del mundo, exigió 5 millones de dólares de una compañía brasileña de diagnóstico médico y lanzó un ataque a gran escala contra docenas, tal vez cientos, de empresas que utilizan software de administración de TI de Kaseya VSA.
Mientras que REvil (que también se conoce como Sodinokibi) puede parecer un nuevo jugador en el mundo de la ciberdelincuencia, la Unidad 42 de Palo Alto ha estado monitoreando a los actores de amenazas vinculados a este grupo durante tres años. Los encontramos por primera vez en 2018 cuando estaban trabajando con un grupo conocido como GandCrab. En ese momento, se centraban principalmente en la distribución de ransomware a través de kits de publicidad maliciosa y exploit, que son anuncios maliciosos y herramientas de malware que los hackers utilizan para infectar a las víctimas a través de descargas de drive-by cuando visitan un sitio web malicioso.
Ese grupo se transformó en REvil, creció y se ganó una reputación por exfiltrar conjuntos de datos masivos y exigir rescates multimillonarios. Ahora se encuentra entre un grupo de élite de bandas de extorsión cibernética que son responsables del aumento de los ataques debilitantes que han hecho que el ransomware se una de las amenazas de seguridad más apremiantes para las empresas y las naciones de todo el mundo.
A principios de este año, Palo Alto lanzó una evaluación de amenazas que vincula a REvil / Sodinokibi con GrandCrab. Aquí, proporcionaban información obtenida de la Unidad 42 consultores de ciberseguridad que trabajaron en más de una docena de casos de ransomware REvil en los primeros seis meses de 2021. “Esperamos que estas cuentas de las tácticas de REvil y las medidas tomadas para contrarrestar esta amenaza ayudarán a las organizaciones a defenderse mejor contra futuros ataques de ransomware. También le recomendamos que revise el 2021 Unidad 42 Informe de amenazas ransomware para obtener más información sobre REvil y otros operadores de ransomware”, señalan desde Palo Alto.
Índice de temas
Ransomware como servicio
REvil es uno de los proveedores más prominentes de ransomware como servicio (RaaS). Este grupo criminal proporciona encriptadores y descifradores adaptables, infraestructura y servicios para las comunicaciones de negociación, y un sitio de fugas para publicar datos robados cuando las víctimas no pagan la demanda de rescate. Para estos servicios, REvil toma un porcentaje del precio del rescate negociado como su cuota. Los afiliados de REvil a menudo utilizan dos enfoques para persuadir a las víctimas a pagar: cifran los datos para que las organizaciones no puedan acceder a la información, usar sistemas informáticos críticos o restaurar a partir de copias de seguridad, y también roban datos y amenazan con publicarlos en un sitio de fugas (una táctica conocida como doble extorsión).
Los actores de amenazas detrás de las operaciones de REvil a menudo organizan y exfiltran datos seguidos de cifrado del entorno como parte de su esquema de doble extorsión. Si la organización víctima no paga, los actores de amenazas REvil suelen publicar la información exfiltrada. “Hemos observado que los actores de amenazas que son clientes de REvil se centran en atacar a las grandes organizaciones, lo que les ha permitido obtener rescates cada vez más grandes”, señala el informe. REvil y sus afiliados retiraron un pago promedio de alrededor de 2,25 millones durante los primeros seis meses de 2021 en los casos que observamos. El tamaño de los rescates específicos depende del tamaño de la organización y el tipo de datos robados. Además, cuando las víctimas no cumplen con los plazos para realizar pagos a través de bitcoin, los atacantes a menudo duplican la demanda. Eventualmente, publican datos robados en el sitio de la fuga si la víctima no paga o entra en negociaciones.
Cómo los actores de amenazas REvil obtienen acceso
Los actores de amenazas de REvil siguen usando credenciales previamente comprometidas para acceder de forma remota a activos externos a través del Protocolo de escritorio remoto (RDP). Otra táctica comúnmente observada es el phishing que conduce a una carga útil secundaria. Sin embargo, también observamos algunos vectores únicos que se relacionan con los recientes CVEs de Microsoft Exchange Server, así como un caso que involucró un compromiso de SonicWall. A continuación se presentan los cinco vectores de entrada únicos observados hasta ahora en 2021.
- Un usuario descarga un archivo adjunto de correo electrónico malicioso que, cuando se abre, inicia una carga útil que descarga e instala una variante de malware QakBot. En al menos un caso, la versión de QakBot que observamos recogió los correos electrónicos almacenados en el sistema local, los archivó y los exfiltró a un servidor controlado por el atacante.
- En un caso, un archivo adjunto ZIP malicioso que contiene un archivo de Excel incrustado en macros que llevó a una infección Ursnif se utilizó para comprometer inicialmente la red de la víctima.
- Varios actores utilizaron credenciales comprometidas para acceder a sistemas orientados a Internet a través de RDP. No está claro cómo los actores obtuvieron acceso a las credenciales en estos casos.
- Un actor aprovechó una vulnerabilidad en un dispositivo SonicWall cliente categorizado como CVE-2021-20016 para obtener acceso a las credenciales necesarias para acceder al entorno.
- Un actor utilizó las vulnerabilidades CVE-2021-27065 y CVE-2021-26855 de Exchange para obtener acceso a un servidor de Exchange con conexión a Internet, lo que en última instancia permitió al actor crear una cuenta de administrador local denominada “admin” que se agregó al grupo “Usuarios de Escritorio remoto”.