REvil, una potente organizzazione Ransomware-as-a-Service (RaaS) originariamente venuta alla luce a fine di aprile 2019, sta tornando. L’organizzazione ransomware sembra aver ripreso le attività dopo una pausa di sei mesi a seguito del raid delle autorità russe ai danni della cybergang. Questa infezione è nota ai tabloid di tutto il mondo come Sodinokibi ransomware ed il gruppo ransomware sembra essere una famiglia collegata a GOLD SOUTHFIELD, un gruppo di criminali finanziariamente solito. Tuttavia, pare che la proprietà del business sia mutata: e la cybergang a partire da aprile 2022 ha ricominciare a reclutare affiliati.

REvil ransomware

L’analisi di nuovi campioni di ransomware REvil ci dimostra che i nuovi sviluppatori hanno accesso al vecchio codice sorgente di REvil che tuttavia è stato implementato con nuove funzionalità. Questi sospetti sono stati rafforzati quando è stato riaperto il loro sito nel dark web ma insieme alle vecchie vittime, se ne sono aggiunte di nuove.

In quest’articolo tratteremo le caratteristiche del ransomware REvil e i rischi della sua ripresa per il mondo cibernetico.

Sommario degli argomenti

REvil ransomware, di che cosa si tratta?

Nel 2019, REvil aveva sostituito per fama e tecnica la presenza sul mercato di GandCrab.

Il termine REvil si riferisce a malware e nello specifico un ransomware-as-a-service in cui un gruppo ristretto di hacker crea e mantiene attivo il potente malware che può essere distribuire ad altri dietro pagamento: ecco perché viene definito as-a-service.
Si tratta di un malware che viene letteralmente noleggiato.

Nel caso di REvil, la cybergang chiede una quota del 40% in cambio della fornitura del ransomware e del supporto.
REvil ransomware e tutti gli affiliati prendono di mira solo le organizzazioni ad alto reddito.

Tra 2021 e 2022, REvil attacca aziende del calibro di:

  • JBS
  • Kaseya.

Come funziona un attacco REvil ransomware?

REvil si diffonde tramite exploit kit, tecniche di scansione ed exploit, server RDP e programmi di installazione di software backdoor.

Dopo essersi infiltrato nel dispositivo della vittima, REvil esfiltra tutti i dati e solo in seguito procede ad avviare il processo di crittografia, utilizzando una chiave nota solo agli hacker. Dopo aver eseguito con successo l’attacco, quindi richiederebbero un riscatto per recuperare i file.

Nel caso in cui la vittima non paghi l’importo di riscatti, tutti i dati esfiltrati vengono pubblicati sul dark web.

REvil per riuscire ad infettare le proprie vittime sfrutta la presenza di vulnerabilità zero-day specifiche e tramite il file denominato userFilterTableRpt.asp:

  • Vulnerabilità di bypass dell’autenticazione
  • Vulnerabilità di caricamento file arbitrario
  • Code injection vulnerability.
revil your network has been infected

Che cos’è successo al gruppo REvil ransomware?

Un certo numero di membri chiave del gruppo REvil è stato arrestato a seguito di numerose e importanti operazioni di polizia internazionale.
Anche altri aspetti dell’attività del gruppo sono stati limitati.

  • Bitdefender ha rilasciato una chiave di decrittazione nel settembre 2021 che ha consentito alle aziende colpite dal ransomware REvil (nelle versioni più vecchie) di sbloccare i propri file senza pagare un riscatto.
  • Molti dei server di backup del gruppo sono andati offline nell’ottobre 2021 a seguito di un attacco coordinato a livello globale.
  • Sette persone collegate a REvil e a una banda di ransomware affiliata sono state arrestate nel novembre 2021.
  • Nel gennaio 2022, le forze dell’ordine russe hanno arrestato i membri del gruppo e sequestrato i loro beni.

Un possibile rebrand?

Una recente analisi dell’Unità 42 di Palo Alto Network fornisce informazioni sul possibile collegamento tra Cartel e REvil ransomware, rivelando punti in comune nei metodi, nelle tattiche e nelle procedure (TTPs) e nel loro codice malware.

Poiché il codice sorgente del malware di crittografia di REvil non è mai stato pubblicato sui forum di hacking, ogni nuovo progetto basato su un codice comparabile è o un rebranding o una nuova operazione avviata da un membro chiave della banda originale.

I ricercatori hanno scoperto parallelismi nella struttura di configurazione nascosta nel malware durante l’analisi dei crittografi per Ransom Cartel, nonostante i siti di archiviazione fossero diversi.

L’Unità 42 ha scoperto che a Ransom Cartel mancano diversi parametri di configurazione, suggerendo che gli sviluppatori stiano tentando di rendere il malware più snello o che la sua base sia una versione precedente del REvil.

La strategia di crittografia è dove i parallelismi diventano maggiori, con i campioni di Ransom Cartel che producono diverse coppie di chiavi pubbliche/private, un meccanismo REvil emerso negli attacchi di Kaseya.

Difendersi da REvil ransomware?

Tra le migliori best practice per difendersi da REvil è necessario:

Monitorare e rispondere agli avvisi

Predisponi un sistema di monitoraggio della rete tramite Vulnerability Assessment.
Gli attaccanti spesso programmano le loro azioni durante le ore non lavorative, nei fine settimana o durante le vacanze, partendo dal presupposto che pochi o nessuno del personale IT stia monitorando. Grazie ad un test di vulnerabilità sai sempre dove intervenire per proteggere il tuo sistema informatico.

Multi Factor Authentication (MFA)

E’ vero che gli attacchi ransomware possono provenire da fonti differenti ma almeno la presenza di un sistema di autenticazione a più fattori è uno strumento utile proteggere l’accesso a risorse critiche come posta elettronica, RDP e risorse di rete.

Blocca i servizi accessibili

eseguire scansioni periodiche della rete aziendale dall’esterno, identifica e segnala la presenza di porte solitamente utilizzate da VNC, RDP o altri strumenti di accesso remoto. Se una macchina deve essere raggiungibile utilizzando uno strumento di gestione remota trovate una soluzione più sicura.

Fai l’inventario delle tue risorse e dei tuoi account

i dispositivi non aggiornati in rete aumentano il rischio di infezioni ransomware e creano una situazione in cui le attività dannose potrebbero passare inosservate. È fondamentale disporre di un inventario degli asset (asset inventory) sempre aggiornato.

Active Directory (AD)

Al fine di avere sotto controllo i privilegi riservati a ciascun utente della vostra azienda, consigliamo di fare controlli regolari su tutti gli account in AD: nessuno deve avere più privilegi del necessario.

Avere un piano di risposta agli incidenti

chiamato anche incident response, si tratta di un piano lavori che deve essere aggiornato per riflettere i cambiamenti che avvengono in rete e che influiscono sul livello di rischio.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.