REvil ransomware, analisi approfondita

L’analisi di nuovi campioni di ransomware REvil ci dimostra che i nuovi sviluppatori hanno accesso al vecchio codice sorgente di REvil che tuttavia è stato implementato con nuove funzionalità. Questi sospetti sono stati rafforzati quando è stato riaperto il loro sito nel dark web ma insieme alle vecchie vittime, se ne sono aggiunte di nuove.

In quest’articolo tratteremo le caratteristiche del ransomware REvil e i rischi della sua ripresa per il mondo cibernetico.

1. REvil ransomware, di che cosa si tratta?
2. Come funziona un attacco REvil ransomware?
3. Che cos’è successo al gruppo REvil ransomware?
4. Come prevenire gli attacchi REvil ransomware?

Nel 2019, REvil aveva sostituito per fama e tecnica la presenza sul mercato di GandCrab.

Il termine REvil si riferisce a malware e nello specifico un ransomware-as-a-service in cui un gruppo ristretto di hacker crea e mantiene attivo il potente malware che può essere distribuire ad altri dietro pagamento: ecco perché viene definito as-a-service.
Si tratta di un malware che viene letteralmente noleggiato.
Nel caso di REvil, la cybergang chiede una quota del 40% in cambio della fornitura del ransomware e del supporto.
REvil ransomware e tutti gli affiliati prendono di mira solo le organizzazioni ad alto reddito.

Tra 2021 e 2022, REvil attacca aziende del calibro di:

• JBS
• Kaseya.

REvil si diffonde tramite exploit kit, tecniche di scansione ed exploit, server RDP e programmi di installazione di software backdoor.

Dopo essersi infiltrato nel dispositivo della vittima, REvil esfiltra tutti i dati e solo in seguito procede ad avviare il processo di crittografia, utilizzando una chiave nota solo agli hacker. Dopo aver eseguito con successo l’attacco, quindi richiederebbero un riscatto per recuperare i file.
Nel caso in cui la vittima non paghi l’importo di riscatti, tutti i dati esfiltrati vengono pubblicati sul dark web.
REvil per riuscire ad infettare le proprie vittime sfrutta la presenza di vulnerabilità zero-day specifiche e tramite il file denominato userFilterTableRpt.asp:

• Vulnerabilità di bypass dell’autenticazione
• Vulnerabilità di caricamento file arbitrario
• Code injection vulnerability.

Un certo numero di membri chiave del gruppo REvil è stato arrestato a seguito di numerose e importanti operazioni di polizia internazionale.
Anche altri aspetti dell’attività del gruppo sono stati limitati.

• Bitdefender ha rilasciato una chiave di decrittazione nel settembre 2021 che ha consentito alle aziende colpite dal ransomware REvil (nelle versioni più vecchie) di sbloccare i propri file senza pagare un riscatto.
• Molti dei server di backup del gruppo sono andati offline nell’ottobre 2021 a seguito di un attacco coordinato a livello globale.
• Sette persone collegate a REvil e a una banda di ransomware affiliata sono state arrestate nel novembre 2021.
• Nel gennaio 2022, le forze dell’ordine russe hanno arrestato i membri del gruppo e sequestrato i loro beni.

Una recente analisi dell’Unità 42 di Palo Alto Network fornisce informazioni sul possibile collegamento tra Cartel e REvil ransomware, rivelando punti in comune nei metodi, nelle tattiche e nelle procedure (TTPs) e nel loro codice malware.

Poiché il codice sorgente del malware di crittografia di REvil non è mai stato pubblicato sui forum di hacking, ogni nuovo progetto basato su un codice comparabile è o un rebranding o una nuova operazione avviata da un membro chiave della banda originale.

I ricercatori hanno scoperto parallelismi nella struttura di configurazione nascosta nel malware durante l’analisi dei crittografi per Ransom Cartel, nonostante i siti di archiviazione fossero diversi.

L’Unità 42 ha scoperto che a Ransom Cartel mancano diversi parametri di configurazione, suggerendo che gli sviluppatori stiano tentando di rendere il malware più snello o che la sua base sia una versione precedente di REvil.

La strategia di crittografia è dove i parallelismi diventano maggiori, con i campioni di Ransom Cartel che producono diverse coppie di chiavi pubbliche/private, un meccanismo REvil emerso negli attacchi di Kaseya.

Monitorare e rispondere agli avvisi
Predisponi un sistema di monitoraggio della rete tramite Vulnerability Assessment.
Gli attaccanti spesso programmano le loro azioni durante le ore non lavorative, nei fine settimana o durante le vacanze, partendo dal presupposto che pochi o nessuno del personale IT stia monitorando. Grazie ad un test di vulnerabilità sai sempre dove intervenire per proteggere il tuo sistema informatico.

Multi Factor Authentication (MFA)
E’ vero che gli attacchi ransomware possono provenire da fonti differenti ma almeno la presenza di un sistema di autenticazione a più fattori è uno strumento utile proteggere l’accesso a risorse critiche come posta elettronica, RDP e risorse di rete.

Blocca i servizi accessibili
eseguire scansioni periodiche della rete aziendale dall’esterno, identifica e segnala la presenza di porte solitamente utilizzate da VNC, RDP o altri strumenti di accesso remoto. Se una macchina deve essere raggiungibile utilizzando uno strumento di gestione remota trovate una soluzione più sicura.

Fai l’inventario delle tue risorse e dei tuoi account
i dispositivi non aggiornati in rete aumentano il rischio di infezioni ransomware e creano una situazione in cui le attività dannose potrebbero passare inosservate. È fondamentale disporre di un inventario degli asset (asset inventory) sempre aggiornato.

Active Directory (AD)
Al fine di avere sotto controllo i privilegi riservati a ciascun utente della vostra azienda, consigliamo di fare controlli regolari su tutti gli account in AD: nessuno deve avere più privilegi del necessario.

Avere un piano di risposta agli incidenti
chiamato anche incident response, si tratta di un piano lavori che deve essere aggiornato per riflettere i cambiamenti che avvengono in rete e che influiscono sul livello di rischio.