0
0
Abordagem focada em afiliados e avanços regulares de malware são essenciais para o sucesso do ransomware, dizem especialistas
Há uma quase unanimidade entre os especialistas em segurança cibernética de que o segredo do sucesso do REvil tem sido o uso de afiliados qualificados e sua capacidade de invadir redes de empresas cada vez maiores e exigir resgates com pagamento de cifras vultosas. A atuação bem-sucedida do ransomware é atribuída também ao fato de seus operadores manterem um portal de vazamento de dados para ajudar seus afiliados nas negociações de ransomware e fazerem as vítimas pagarem os resgates.
Também conhecido como Sodinokibi e Sodin, o REvil é um ransomware como serviço (RaaS), o que significa que um grupo central desenvolve e mantém o código de ransomware e o disponibiliza para afiliados por meio de um portal. Esses afiliados e o grupo principal de operadores compartilham os lucros resultantes do pagamento de resgate pelas vítimas.
Para se ter uma ideia do quão lucrativo é esse ransomware, basta lembrar que vítimas recentes pagaram cifras milionárias ao grupo, como a processadora de carnes de origem brasileira JBS, que pagou US$ 11 milhões em bitcoins, e a fabricante de computadores Acer, que pagou resgate de US$ 50 milhões. No mais recente ataque do grupo hacker REvil à rede de suprimentos da Kaseya, no dia 2 deste mês, que afetou mais de 1.500 empresas em todo o mundo, os criminosos pedem um resgate de US$ 70 milhões para desbloqueará os computadores afetados.
Os especialistas em segurança classificam o REvil entre as operações de RaaS mais prejudiciais e predominantes, ao lado dos ransomware Conti, DoppelPaymer —também conhecido como DopplePaymer —, Maze offshoot Egregor e Ryuk.
Como outras operações de RaaS, os afiliados do REvil usam um portal também para gerar novos executáveis de malware com bloqueio de criptografia, cada um projetado para ser diferente o suficiente de outros para dificultar sua detecção pelas defesas de segurança.
Depois que o afiliado adquire uma nova versão do malware, ele a usa para infectar uma vítima e deixar seus arquivos criptografados, geralmente publicando uma nota com pedido de resgate que pode variar entre US$ 50 mil e US$ 50 milhões, dependendo do porte da vítima, acordo com a empresa de segurança cibernética Group-IB.
No ano passado, sempre que uma vítima pagava o resgate, os operadores do REvil reduziam os ataques em 40%, caindo para 30% depois que um afiliado conseguia três pagamentos de resgate bem-sucedidos. Mais recentemente, diz o Grupo-IB, os operadores reduziram para 25% as invasões. A empresa também observa que, como acontece com algumas outras operações de RaaS, os principais operadores do REvil são geralmente os que lidam com negociações com as vítimas.
Os especialistas dizem que essa abordagem relativamente especializada — um operador mantendo o código e serviços de suporte e afiliados infectando as vítimas — ajudou a impulsionar os ataques e o número de organizações atingidas, bem como o valor do resgate. E o REvil se destaca como uma das operações de maior sucesso nos últimos anos.
O REvil apareceu pela primeira vez em abril de 2019, aparentemente como desdobramento do grupo GandCrab RaaS, que se “aposentou” no mês seguinte. O grupo que opera o REvil rapidamente começou a acumular lucros impressionantes, auxiliado por afiliados relativamente especializados com habilidades avançadas na invasão de redes, visando não apenas conexões de Remote Desktop Protocol (RDP) mal protegidas, mas também explorando software de acesso remoto sem patch da Citrix e Pulse Secure.
Hoje, a operação REvil continua prolífica. Na quinta-feira passada, 1º, o “Happy Blog” do REvil, onde afiliados podem nomear vítimas e postar extratos de dados roubados, listou quatro novas vítimas: uma fabricante americana, uma empresa espanhola de telecomunicações e uma empresa de saúde e outra do setor da construção, ambas no Brasil.
Táticas de distribuição
A forma como o ransomware é distribuído continua a evoluir e o REvil não é exceção. A segmentação de RDP mal protegido continua sendo um vetor de ataque comum, assim como os ataques de phishing. Recentemente, por exemplo, “afiliados do REvil foram vistos usando uma campanha de spam para entregar documentos maliciosos e kits de exploração que visam vulnerabilidades antigas em máquinas não corrigidas, bem como, mais recentemente, por meio da botnet Qakbot”, conforme escreve em um novo relatório de pesquisa Chad Anderson, pesquisador de segurança sênior da empresa de inteligência contra ameaças cibernéticas DomainTools.
O Grupo IB relata que, além de usar a botnet Qakbot, os afiliados do REvil também usam a botnet IcedID, que foi usada anteriormente por afiliados dos grupos hackers Maze, Egregor e Conti. Para os afiliados do REvil que usam Qakbot ou IcedID, “os dois cavalos de Tróia são distribuídos por meio de campanhas massivas de spam”, afirma o Group-IB. “Uma vítima potencial recebe um e-mail com um documento do Microsoft Office como arma e, se ele for aberto e as macros maliciosas estiverem habilitadas, o binário do Trojan é baixado e executado no host.”
Seleção dos alvos
Após o ataque do DarkSide à Colonial Pipeline nos EUA em maio, os operadores do REvil e outras gangues começaram a proibir os afiliados de atingir certos tipos de alvos e disseram que precisariam de permissão antes de implantar o malware contra qualquer organização. Os especialistas dizem que não está claro se essas são regras rígidas ou foram simplesmente emitidas para manter as aparências devido à crescente pressão política sobre Moscou para reprimir as operações de ransomware baseadas na Rússia.
Quando se trata de atingir alvos, diferentes afiliados do REvil têm diferentes conjuntos de habilidades e estratégias. “Os afiliados da REvil nem sempre se concentraram na caça aos grandes players”, escreve Oleg Skulkin, analista forense digital sênior do Group-IB, em um novo relatório. Ele observa que em dezembro passado, por exemplo, pelo menos algumas afiliadas da REvil buscavam “empresas com receitas relativamente pequenas” usando malvertising — injetando código malicioso em redes de publicidade legítimas — para enganar as vítimas para que baixassem um arquivo com um arquivo JavaScript malicioso. “Se executado, o arquivo explora o prompt de comando do Windows para executar um comando malicioso do PowerShell, que finalmente leva à execução do REvil no host de destino”, explica ele.
Independentemente do porte do alvo, alguns afiliados podem utilizar habilidades de hacking mais avançadas. Depois de obter acesso à rede da vítima, por exemplo, o Group-IB diz que as ferramentas de pós-exploração usadas pelos afiliados do REvil geralmente incluem Cobalt Strike, Metasploit, CrackMapExec, PowerShell Empire e Impacket.
“Normalmente, os agentes de ameaças usam ferramentas de pós-exploração de uma forma bastante comum, então se você se concentrar em argumentos de linha de comando normais típicos de Cobalt Strike, PowerShell Empire e outros, provavelmente você os detectará com sucesso”, diz Skulkin.Especialistas em segurança dizem que, como a maioria dos tipos de ransomware, antes de bloquear um sistema com criptografia, o REvil primeiro garante que o idioma do sistema não seja definido para nenhum país da Comunidade de Estados Independentes, que inclui a Rússia e a Ucrânia. Nesse caso, o malware será encerrado, pois a regra do crime cibernético na Rússia é nunca hackear russos.
FONTE: CISO ADVISOR