De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af te persen.
Ze worden gedreven door winst en willen $ 2 miljard (1,6 miljard euro) verdienen met hun ransomware-service, waarbij ze de meest lucratieve trends toepassen in hun zoektocht naar rijkdom.
“UNKN”
Een vertegenwoordiger van REvil die de aliassen “UNKN” en “Unknown” gebruikt op cybercriminele forums sprak met 'techblog Russisch OSINT' en gaf wat details over de activiteit van de groep en hints over wat ze in petto hebben voor de toekomst.
Zoals bijna alle ransomware bendes, voert REvil een ransomware-as-a-service (RaaS) -operatie uit. Volgens dit model leveren ontwikkelaars malware voor het versleutelen van bestanden aan criminele organisaties die het meeste verdienen met het geld dat van de slachtoffers wordt afgeperst.
Verdeling buit
Met REvil krijgen de ontwikkelaars 20-30% en de rest van het betaalde losgeld gaat naar criminele organisatie die de aanvallen uitvoeren, gegevens stelen en de ransomware op bedrijfsnetwerken tot ontploffing brengen.
"Het meeste werk wordt gedaan door distributeurs en ransomware is slechts een hulpmiddel, dus ze denken dat dat een eerlijke verdeling is", zei de vertegenwoordiger van REvil, Unknown, tegen het Russische OSINT.
Dit betekent dat de ontwikkelaars het losgeldbedrag bepalen, de onderhandelingen voeren en het geld innen dat later wordt gesplitst met affiliates.
Lange lijst met slachtoffers
De cybercriminele operatie heeft computers gecodeerd bij grote bedrijven, waaronder Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole en GEDIA Automotive Group.
'UNKN' zegt dat aan REvil gelieerde ondernemingen de netwerken van Travelex en GSMLaw in slechts drie minuten konden doorbreken door misbruik te maken van een kwetsbaarheid in 'Pulse Secure VPN' die maandenlang niet was gepatcht nadat de fix beschikbaar kwam.
Volgend slachtoffer
De openbare vertegenwoordiger van REvil zegt dat het syndicaat het netwerk van een "groot gaming bedrijf" heeft geraakt en de aanval binnenkort zal aankondigen.
Ze zeggen ook dat REvil verantwoordelijk was voor de aanval in september op de openbare bank van Chili, BancoEstado. Het incident bracht de bank ertoe om al haar filialen een dag te sluiten, maar had geen invloed op internetbankieren, apps en geldautomaten.
Meest winstgevende doelen
Naast managed services providers (MSP's) die toegang hebben tot netwerken van meerdere organisaties, zijn de meest winstgevende doelen voor REvil bedrijven in de verzekerings-, juridische en landbouwsector.
Wat de eerste toegang betreft, noemde 'UNKN' zowel brute-force-aanvallen als Remote Desktop Protocol (RDP) in combinatie met nieuwe kwetsbaarheden.
Via kwetsbaarheden naar binnen
Een voorbeeld zijn kwetsbaarheden die worden gevolgd zijn CVE-2020-0609 en CVE-2020-0610 bugs en bekend als BlueGate . Deze maken uitvoering van externe code mogelijk op systemen met Windows Server (2012, 2012 R2, 2016 en 2019).
REvil maakte aanvankelijk winst doordat slachtoffers het losgeld betaalden om versleutelde bestanden te ontgrendelen. Omdat de aanvallers ook de back-upservers sloten, hadden de slachtoffers weinig opties om te herstellen en was betalen de snelste manier.
Doxware nieuwe trend
De ransomware business veranderde vorig jaar toen operators een kans zagen om gegevens van gelekte netwerken te stelen en slachtoffers begonnen te bedreigen met schadelijke lekken die een veel grotere impact op het bedrijf zouden kunnen hebben.
Zelfs als het langer duurt en een aanzienlijke tegenslag veroorzaakt, kunnen grote bedrijven versleutelde bestanden herstellen via offline back-ups. Het hebben van gevoelige gegevens in de openbare ruimte of verkocht aan geïnteresseerde partijen kan echter synoniem zijn met het verliezen van het concurrentievoordeel en reputatieschade die moeilijk weer op te bouwen is.
Deze methode bleek zo lucratief te zijn dat REvil nu meer geld verdient met het niet publiceren van gestolen gegevens dan met het ontsleutelen van losgeld.
'UNKN' zegt dat een op de drie slachtoffers momenteel bereid is het losgeld te betalen om het lekken van bedrijfsgegevens te voorkomen. Dit zou de volgende stap kunnen zijn in de ransomware business.
DDoS als drukmiddel
REvil overweegt ook om een andere tactiek te gebruiken die is ontworpen om hun kans op betaling te vergroten: het slachtoffer slaan met gedistribueerde denial-of-service (DDoS) -aanvallen om hen te dwingen op zijn minst (opnieuw) te beginnen met onderhandelen over een betaling.
'SunCrypt' ransomware gebruikte deze tactiek onlangs bij een bedrijf dat de onderhandelingen had stopgezet. De aanvallers maakten duidelijk dat ze de DDoS-aanval hadden gelanceerd en stopten deze toen de onderhandelingen werden hervat. REvil is van plan dit idee te implementeren.
Donatie op forum
Het model van REvil om geld te verdienen werkt en de bende heeft al genoeg in hun schatkist. In hun zoektocht naar nieuwe partners stortten ze $ 1 miljoen (0,83 miljoen euro) aan bitcoins op een Russisch sprekend forum.
De donatie was bedoeld om te laten zien dat hun operatie veel winst oplevert. Volgens 'UNKN' is deze stap om het werven van nieuw bloed om de malware te verspreiden, aangezien de ransomware-scene tot de nok toe gevuld is met professionele cybercriminelen.
Hoewel ze vrachtwagenladingen met geld hebben, zijn REvil-ontwikkelaars beperkt tot de grenzen van de regio van het Gemenebest van Onafhankelijke Staten (GOS, landen in de voormalige Sovjet-Unie).
Reizen is te risicovol
Een reden hiervoor is het aanvallen van een groot aantal spraakmakende slachtoffers die aanleiding waren voor onderzoeken van wetshandhavingsinstanties van over de hele wereld. Als zodanig is reizen een risico dat REvil-ontwikkelaars niet willen nemen.
Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil.
Elite penetratie testers
Hun malware werd voor het eerst opgemerkt in april 2019 en de groep ging op zoek naar bekwame hackers (elite penetratie testers) kort nadat de 'GandCrab' ransomware de winkel had gesloten .
'UNKN' zegt dat de groep de bestandscoderende malware niet helemaal zelf heeft gemaakt, maar de broncode heeft gekocht en er bovenop heeft ontwikkeld om het effectiever te maken.
Het maakt gebruik van 'elliptische curve-cryptografie (ECC)' die een kleinere sleutelgrootte heeft dan het op RSA gebaseerde openbare sleutelsysteem, zonder concessies te doen aan de beveiliging. UNKN zegt dat dit een van de redenen is waarom affiliates REvil verkiezen boven andere RaaS-operaties zoals Maze of LockBit.
Voordat ze hun bedrijf stopzetten, zeiden de ontwikkelaars van 'GandCrab' dat ze $ 150 miljoen (125 miljoen euro) verdienden, terwijl de hele operatie meer dan $ 2 miljard (1,6 miljard Euro) aan losgeld ophaalde.
De ambities van de REvil-ontwikkelaar zijn duidelijk groter.
Het gesprek met "UNKN" REvil Ransomware bende
Vertaling - Cybercrimeinfo.nl -
Bron: Russian OSINT
Meer info over ransomware lees je hier.
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Zes getroffen ziekenhuizen met ransomware in een staat kregen hulp van de Nationale Garde
Gouverneur Phil Scott van de Amerikaanse staat Vermont heeft de 'Nationale Garde' van de staat ingezet om zes door ransomware getroffen ziekenhuizen te helpen. De zes ziekenhuizen en medische centra van het 'University of Vermont Health Network' raakten eind oktober besmet met ransomware.
Toename met 1200 procent detecties 'Emotet-malware' in periode juli tot september
Er is een enorme toename van 'Emotet-malware' aanvallen. Cybercriminelen maken gebruik van machines die door de malware zijn gehackt om meer malware-infecties en ransomware campagnes te lanceren.
FBI:"De recente cyberaanvallen op ziekenhuizen is nog maar het begin"
De recente cyberaanvallen op Amerikaanse ziekenhuizen is nog maar het begin. De Federal Bureau of Investigation (FBI), het ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) zeggen dat cybercriminelen zich voorbereiden op een golf aan ransomware-aanvallen. De hackers zijn volgens de veiligheidsinstanties uit op geld en geven niets om de gezondheid of veiligheid van patiënten. Gezondheidsinstellingen krijgen het advies om hun digitale beveiliging op te schroeven.
Moeten ook MKB IT-dienstverleners er nu echt aan gaan geloven?
Pas recent werd duidelijk dat een rechter in 2018 een vonnis heeft gewezen waarin een IT-dienstverlener de kosten grotendeels moest vergoeden die het gevolg waren van schade door een ransomware infectie. In de dagen nadat het vonnis bekend werd ontstonden verschillende discussies op LinkedIn en sites als Security.nl. De meningen liepen sterk uiteen: voor sommigen was het een onbegrijpelijke uitspraak, anderen verzuchtten dat er nu eindelijk eens opgetreden werd.
Ransomware-aanval in Duits ziekenhuis leidt tot dood van patiënt
Een persoon in een levensbedreigende toestand stierf nadat hij door een ransomware-aanval gedwongen was naar een verder weg gelegen ziekenhuis te gaan.
Update 3: Veligheidsregio (Noord- en Oost Gelderland) getroffen door Ransomware
Update 17-9-2020, 16.00 uur