HACKING

Πως η ομάδα του ransomware REVIL έχει αυξήσει τα κέρδη της τον τελευταίο χρόνο;

This post was originally published on this site

Οι προγραμματιστές του REVIL ransomware λένε ότι κέρδισαν περισσότερα από 100 εκατομμύρια δολάρια σε ένα χρόνο, εκβιάζοντας μεγάλες επιχειρήσεις από διάφορους τομείς σε όλο τον κόσμο.

Στόχος τους είναι το κέρδος και συνεχώς υιοθετούν τις πιο επικερδείς τάσεις της αγοράς.

Ένας εκπρόσωπος του REvil που χρησιμοποιεί τα ψευδώνυμα «UNKN» και «Unknown» σε ένα εγκληματικό φόρουμ του κυβερνοχώρου, μίλησε στο ρωσικό τεχνολογικό blog OSINT προσφέροντας μερικές λεπτομέρειες σχετικά με τη δραστηριότητα της ομάδας και υπαινιγμούς για το τι επιθέσεις θα πραγματοποιήσουν στο μέλλον.

Όπως σχεδόν όλες οι συμμορίες ransomware σήμερα, η ομάδα του REvil εκτελεί μια λειτουργία ransomware-as-a-service (RaaS). Σύμφωνα με αυτό το μοντέλο, οι προγραμματιστές παρέχουν malware κρυπτογράφησης αρχείων σε συνεργάτες, οι οποίοι κερδίζουν το μεγαλύτερο μερίδιο από τα χρήματα που λαμβάνουν από τα θύματα που εκβιάζονται.

Οι προγραμματιστές της ομάδας REvil παίρνουν το 20-30% και το υπόλοιπο των λύτρων πηγαίνει στους συνεργάτες, οι οποίοι εκτελούν τις επιθέσεις, κλέβουν δεδομένα και πυροδοτούν το ransomware σε εταιρικά δίκτυα.

Αυτό σημαίνει ότι οι προγραμματιστές ορίζουν το ποσό των λύτρων, διεξάγουν τις διαπραγματεύσεις και συλλέγουν τα χρήματα που αργότερα μοιράζονται με τους συνεργάτες.

Μεγάλος κατάλογος θυμάτων

Η κυβερνοεγκληματική επιχείρηση έχει κρυπτογραφήσει υπολογιστές σε μεγάλες εταιρείες, μεταξύ των οποίων οι Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole και GEDIA Automotive Group.

Ο «Unknown» λέει ότι οι συνεργάτες του REvil κατάφεραν να παραβιάσουν τα δίκτυα των Travelex και GSMLaw σε μόλις τρία λεπτά εκμεταλλευόμενοι μια ευπάθεια στο Pulse Secure VPN η οποία αφέθηκε ανενημέρωτη για μήνες μετά τη διάθεση της διόρθωσης.

Ο εκπρόσωπος του REVIL λέει ότι η ομάδα έπληξε το δίκτυο μιας «μεγάλης εταιρείας τυχερών παιχνιδιών» και σύντομα θα ανακοινώσει την επίθεση.

Λένε επίσης ότι η ομάδα του REvil ήταν υπεύθυνη για την επίθεση που πραγματοποιήθηκε τον Σεπτέμβριο εναντίον της δημόσιας τράπεζας της Χιλής, BancoEstado. Το περιστατικό ώθησε την τράπεζα στο να κλείσει όλα τα καταστήματα της για μια ημέρα, αλλά δεν επηρέασε τις διαδικτυακές τραπεζικές συναλλαγές, τις εφαρμογές και τα ΑΤΜ.

Μαζί με τους παρόχους διαχειριζόμενων υπηρεσιών (MSP) που έχουν πρόσβαση σε δίκτυα πολλαπλών οργανισμών, οι πιο κερδοφόροι στόχοι για την ομάδα του REvil είναι εταιρείες στον ασφαλιστικό, νομικό και γεωργικό τομέα.

Όσον αφορά την αρχική πρόσβαση, ο «Unknown» ανέφερε τις επιθέσεις brute-force καθώς και το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) σε συνδυασμό με νέες ευπάθειες.

Η ομάδα της REvil συγκέντρωσε αρχικά τα κέρδη της από τα θύματα που πληρώνουν τα λύτρα για να ξεκλειδώσουν τα κρυπτογραφημένα τους αρχεία. Δεδομένου ότι οι επιτιθέμενοι κλείδωσαν και τους εφεδρικούς servers, τα θύματα δεν είχαν πολλές επιλογές για ανάκτηση και η πληρωμή ήταν ο γρηγορότερος τρόπος.

Η επιχείρηση ransomware άλλαξε πέρυσι όταν οι επιτιθέμενοι εκμεταλλεύτηκαν μια νέα ευκαιρία κλέβοντας δεδομένα από παραβιασμένα δίκτυα. Μετά άρχισαν να απειλούν τα θύματα με καταστροφικές διαρροές που θα μπορούσαν να έχουν πολύ χειρότερο αντίκτυπο στην εταιρεία.

Ακόμα κι αν διαρκεί περισσότερο και προκαλεί σημαντική αναστάτωση, οι μεγάλες επιχειρήσεις μπορούν να ανακτήσουν κρυπτογραφημένα αρχεία από offline backups. Η ύπαρξη ευαίσθητων δεδομένων δημόσια ή η πώληση σε ενδιαφερόμενα μέρη, ωστόσο, μπορεί να είναι συνώνυμη με την απώλεια του ανταγωνιστικού πλεονεκτήματος και τη ζημία της φήμης που είναι δύσκολο να ανακατασκευαστεί.

Αυτή η μέθοδος αποδείχθηκε τόσο επικερδής που η ομάδα της REvil κερδίζει πλέον περισσότερα χρήματα από τη μη δημοσίευση κλεμμένων δεδομένων παρά από τα λύτρα που λαμβάνει από την αποκρυπτογράφηση.

Ο “Unknown” λέει ότι ένα στα τρία θύματα είναι επί του παρόντος πρόθυμο να πληρώσει τα λύτρα για να αποτρέψει τη διαρροή των δεδομένων της εταιρείας. Αυτό θα μπορούσε να είναι το επόμενο βήμα στην επιχείρηση του ransomware.

Η ομάδα του REvil σκέφτεται επίσης να υιοθετήσει μια άλλη τακτική που έχει σχεδιαστεί για να αυξήσει τις πιθανότητες να πληρώσουν τα θύματα: χτυπώντας τα θύματα με κατανεμημένες επιθέσεις denial-of-service (DDoS) για να τους αναγκάσει (τουλάχιστον) να αρχίσουν να διαπραγματεύονται στο κομμάτι της πληρωμής των λύτρων.

Το ransomware SunCrypt χρησιμοποίησε αυτήν την τακτική πρόσφατα σε μια εταιρεία που διέκοψε τις διαπραγματεύσεις. Οι επιτιθέμενοι κατέστησαν σαφές ότι ξεκίνησαν την επίθεση DDoS και την τερμάτισαν όταν ξαναξεκίνησαν οι διαπραγματεύσεις. Η ομάδα του REVIL σχεδιάζει να εφαρμόσει αυτήν την ιδέα.

Το μοντέλο της REVIL για να κερδίζει χρήματα λειτουργεί και η συμμορία έχει ήδη συγκεντρώσει πάρα πολλά. Στην αναζήτηση τους για νέες συνεργασίες, κατέθεσαν 1 εκατομμύριο δολάρια σε bitcoin σε ένα ρωσόφωνο φόρουμ.

Η κίνηση σχεδιάστηκε για να δείξει ότι η λειτουργία τους αποφέρει πολλά κέρδη. Σύμφωνα με το Unknown, αυτό το βήμα είναι η πρόσληψη νέου αίματος για τη διανομή του κακόβουλου λογισμικού, καθώς ο χώρος του ransomware είναι γεμάτος με επαγγελματίες εγκληματίες του κυβερνοχώρου.

Παρόλο που έχουν πολλά χρήματα, οι προγραμματιστές του REvil περιορίζονται στα σύνορα της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS, χώρες της πρώην Σοβιετικής Ένωσης).

Πηγή: bleepingcomputer.com

https://www.secnews.gr/