Die wichtigsten Trends der ‘Reville Ransomware’, die mit RaaS erfolgreich waren, und wie man sie verhindert

Revil ist ein Ramsomware-as-a-Service (RaaS)-Angriff, der im vergangenen Jahr weltweit große Geldsummen von Unternehmen erpresst hat. Revils Name bedeutet Ransomeware Evil, das vom Film Resident Evil inspiriert wurde. Laut einem kürzlich von Sicherheitsunternehmen veröffentlichten Bericht ist Reville die am weitesten verbreitete Ransomware-Bedrohung, und der Konzern hat seine Erpressungsaktivitäten vervielfacht, indem er sogar droht, Geschäftsdaten zu stehlen und offenzulegen.
Getty Images Bank

Revil, auch bekannt als Sodinokibi, erschien erstmals im April 2019 und gewann an Popularität, nachdem eine andere kriminelle RaaS-Gruppe namens GranCrab aus dem Geschäft ging. Als Revil zum ersten Mal auftauchte, argumentierten Experten und Sicherheitsfirmen, dass es sich um eine Variante von GandCrab oder zumindest um mehrere Verbindungen zwischen ihnen handelte. Ein angebliches Mitglied dieser Gruppe, Unknown, bestätigte kürzlich in einem Interview, dass Reville keine neue Kreation war und auf einer alten Codebasis basiert, die sie erhalten hatten.

Die Entwickler hinter RaaS-Angriffen verlassen sich bei der Verbreitung von Ransomware auf Cyberkriminelle, sogenannte „Kollaborateure“. Tatsächlich erhalten Ransomware-Entwickler 20-30% der illegalen Einnahmen, während der Rest von „Kollaborateuren“ eingenommen wird, die tatsächlich auf Unternehmensnetzwerke zugreifen und Malware bereitstellen.

Je erfolgreicher ein RaaS-Angriff ist, desto wahrscheinlicher wird er einen fähigen Mitarbeiter anziehen, und sobald ein Angriff abgeschlossen ist, wird der Mitarbeiter schnell zu einem anderen übergehen. Dies ist in der Vergangenheit bei GandCrab und in jüngerer Zeit bei Maze passiert. Als diese Mitglieder das Ende der GandCrab-Aktivitäten ankündigten, wechselten die Mitarbeiter schnell zu einer neuen Ransomware namens Egregor oder Sekhmet.

Im Juli 2021 nutzten die Mitarbeiter von Revil eine Zero-Day-Schwachstelle in einem von einem Unternehmen namens Kaseya entwickelten Systemverwaltungs- und Überwachungstool für über 30 Managed Service Provider (MSPs) weltweit und über 1.000 von ihnen verwaltete Unternehmen aus. Netzwerk wurde kompromittiert.

Der Angriff erregte große Medienaufmerksamkeit, und sogar US-Präsident Joe Biden entfachte Diskussionen über Ransomware zwischen dem russischen Präsidenten Wladimir Putin.

Kurz nach dem Treffen funktionierte Revilles Website nicht mehr und die Gruppe verstummte. Es gibt auch Spekulationen, dass die russischen Strafverfolgungsbehörden diesbezüglich Maßnahmen ergriffen haben könnten. Kaseya erhielt außerdem von einem anonymen „vertrauenswürdigen Dritten“ einen Master-Entschlüsselungsschlüssel, der für alle Opfer funktionierte.

Am 9. September 2021 berichteten Cybercrime-Analysten von Flashpoint, dass die Website von Reville wieder online sei und dass ein neuer Vertreter der Gruppe eine Nachricht in einem Untergrundforum veröffentlicht habe, in der er erklärte, was passiert war. Tat.

Dem Beitrag zufolge wurde der Master-Entschlüsselungsschlüssel versehentlich von einem der Entwickler der Gruppe erstellt und für einige Opfer mit individuellen Entschlüsselungsschlüsseln gebündelt. Flashpoint sagte, es arbeite daran, die Beziehungen zu seinen Mitarbeitern und Partnern zu verbessern, nachdem die Gruppe abrupt verschwunden war.


Reville, wie erfolgreich bist du?

Im September 2020 gab das IBM Security X-force Incident Response-Team bekannt, dass es sich bei einem von vier Cybersicherheitsvorfällen in Unternehmenskundennetzwerken um Ransomware-Infektionen handelte. Darüber hinaus betraf eine von drei Ransomware-Infektionen Reville/Sodinokibi.

Damals sagten Experten: „Der häufigste Ransomware-Typ, den IBM Security X-Force im Jahr 2020 gesehen hat, ist Sodinokibi (Reville). Dies ist ein RaaS-Angriffsmodell, das dieses Jahr einen gemischten Ransomware-Angriff und einen Erpressungsangriff implementiert hat.” Die Daten wurden gestohlen und im Internet versteigert”, erklärte er.

Auf Sodinokibi entfallen auch 29% aller IBM Security X-Force Ransomware-Gegenmaßnahmen im Jahr 2020. Dies deutet darauf hin, dass Sodinokibi-Betreiber im Vergleich zu anderen Ransomware-Typen einen besseren Zugang zu Opfernetzwerken haben.

IBM Security X-Force schätzt, dass Reville seit seiner Gründung im Jahr 2019 mindestens 140 Unternehmen angegriffen hat, wobei die Hauptzielbranchen Großhandel, Fertigung und professionelle Dienstleistungen (Recht, Buchhaltung usw.) sind. Etwa 60 % der Opfer waren US-Unternehmen, gefolgt von Großbritannien, Australien und Kanada.

Es wird auch geschätzt, dass ein Drittel der von Reville betroffenen Unternehmen das Lösegeld bezahlt und in jedem zehnten Unternehmen vertrauliche Informationen im Darknet versteigert wurden. Bei einem Drittel der betroffenen Unternehmen wurden Daten gestohlen.
Die Reville-Gruppe scheint Lösegeld auf der Grundlage des Jahresumsatzes des Opfers gefordert zu haben. Der erforderliche Betrag variierte stark zwischen 1.500 und 42 Millionen US-Dollar, was bis zu 9 % des Jahresumsatzes des Opfers ausmachte. IBM identifizierte auch einige Überschneidungen zwischen Reville und der Cyberkriminellen-Gruppe FIN7 (auch bekannt als „Carbanak“). Dies kann passieren, wenn der „Mitarbeiter“ einen Vertrag mit beiden Gruppen hat.

IBM schätzt den Umsatz von Reville im vergangenen Jahr auf mindestens 81 Millionen US-Dollar. Laut einem Interview mit einem russischen Blogger “Unknown”, der vermutlich der Vertreter der Reville-Gruppe ist, scheint diese Schätzung nicht falsch zu sein. Der Cyberkriminelle behauptete, mit dem Ransomware-Angriff mehr als 100 Millionen US-Dollar verdient zu haben. Im September 2020 hinterlegte die Gruppe Bitcoins in Höhe von 1 Million US-Dollar in einem Hacker-Forum, um talentierte Hacker als „Kollaborateure“ zu rekrutieren, berichtete BleepingComputer.


Kriminelle Gruppen, die Daten stehlen, erpressen und falsche Versprechungen machen

Anfang Oktober 2020 berichtete Coveware, Spezialist für Ransomware-Vorfälle, dass Reville/Sodinokibi im dritten Quartal 2020 mit einer Infektionsrate von 16 % den größten Anteil an Ransomware hatte. Es belegte auch im zweiten Quartal 2020 den ersten Platz. Fast die Hälfte der von Coveware untersuchten Ransomware-Fälle drohte mit der Veröffentlichung gestohlener Daten, und die Zahl der Gruppen, die die Bedrohung ausnutzen, ist ebenfalls gestiegen.

„Strategien zur Datenerpressung haben einen kritischen Punkt erreicht“, sagte Coveware. „Obwohl einige Unternehmen sich dafür entscheiden, Bedrohungsakteure dafür zu bezahlen, ihre gestohlenen Daten nicht offenzulegen, hat Coveware keine Angst davor, das Versprechen der Cyberkriminellen, ihre Daten loszuwerden, ins Wanken zu bringen. Ich habe es gesehen“, sagte er.

Coveware hat insbesondere erlebt, dass Opfern, die bereits dafür bezahlt haben, erneut mit den gleichen Daten gedroht wurden, die Wochen später veröffentlicht wurden. Auch andere kriminelle Gruppierungen brachen ihre Versprechen und lieferten falsche Beweise dafür, dass sie die Daten der Opferunternehmen, die das Geld bezahlt hatten, preisgegeben oder entfernt hatten.

„Im Gegensatz zu Verhandlungen über Entschlüsselungsschlüssel haben private Verhandlungen über gestohlene Daten kein endgültiges Ergebnis“, sagte Coveware. Mit gestohlenen Daten können Bedrohungsakteure jedoch jederzeit für Geld zurückkommen. Es häufen sich bereits Beweise dafür, dass die Erfolgsbilanz hierfür zu kurz ist und die Nichteinhaltung selektiv ist.” , untersuchen, welche Daten gestohlen wurden, und geben die erforderlichen Meldungen nach solchen Ermittlungen und Konsultationen ab.

Revilles Unknown sagte russischen Bloggern, dass er erwäge, auch andere Techniken einzuführen. Zum Beispiel durch die Einführung eines Distributed Denial of Service (DDoS), um Unternehmen unter Druck zu setzen, Verhandlungen zu verschieben.


So funktioniert Revil

Revil ist eines der von Menschen kontrollierten Ransomware-Programme, ähnlich wie Ryuk und WastedLocker. Nach erfolgreichem Eindringen verwenden Angreifer eine Vielzahl von Tools und Techniken, um Netzwerke abzubilden, seitliche Bewegungen durchzuführen, Domänenadministratorrechte zu erlangen und Ransomware auf allen Computern bereitzustellen, um die Auswirkungen zu maximieren.

Da die Ebene von mehreren „Mitarbeitern“ verbreitet wird, variiert der anfängliche Zugangsweg. Mit anderen Worten, Phishing-E-Mails mit Malware-Anhängen, kompromittierten Remote Desktop Protocol (RDP)-Zertifikaten und Ausnutzung von Schwachstellen in vielen öffentlich zugänglichen Diensten. So nutzten Revil-Angreifer 2019 beispielsweise eine bekannte Schwachstelle in Oracle Weblogic aus, um sich Zugang zu Systemen zu verschaffen (CVE-2019-2725).

Laut Coveware-Bericht wird Revil derzeit hauptsächlich über gehackte RDP-Sitzungen (65%), Phishing (16%) und Software-Schwachstellen (8%). „Unbekannt“ sagte in einem Interview auch, dass es viele „Kollaborateure“ von Revil gibt, die Brute-Force-Angriffe einsetzen, um RDP zu hacken.

Revil unterscheidet sich von anderen Ransomware-Programmen dadurch, dass es Dateien mit dem Diffie-Hellman-Schlüsselaustausch, einem elliptischen Kurvenalgorithmus anstelle von RSA und Salsa 20 anstelle von AES verschlüsselt. Diese kryptografischen Algorithmen verwenden kurze Schlüssel und sind sehr effizient und bei richtiger Implementierung unzerbrechlich.

Die Ransomware Revil stoppt den Prozess auf dem infizierten Computer. Beispiele sind E-Mail-Clients, SQL- und andere Datenbankserver, Microsoft Office-Programme, Browser und Tools zum Sperren oder Verteidigen kritischer Dateien mit RAM. Danach entfernt es die Windows-Schattendateikopien und andere Backups, um die Dateiwiederherstellung zu verhindern.


Wie man Reville verteidigt

Unternehmen sollten den Fernzugriff immer durch starke Zertifikate und Zwei-Faktor-Authentifizierung ergänzen und in Erwägung ziehen, diese auf VPNs zu beschränken. Server, Anwendungen und Geräte, die der Öffentlichkeit zugänglich gemacht werden, müssen kontinuierlich aktualisiert und regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtiges Verhalten überprüft werden. Wo immer möglich, sollte auch ein Brute-Force-Angriffsschutz implementiert werden, der übermäßige Anmeldeversuche durch falsche Zugangsdaten blockiert.
Führen Sie im lokalen Netzwerk die folgenden Aktionen aus.
  • Blockiert unnötige Server Message Block (SMB) und Remote Procedure Call (RPC) Kommunikation zwischen Endpunkten, die für seitliche Bewegungen verwendet werden können
  • Überwachen Sie privilegierte Konten auf verdächtiges Verhalten
  • Strenge Zugriffskontrollregeln für Ordner und Prozesse reduzieren die Angriffsfläche für Endpunkte
  • Sichere Netzwerkfreigabe
  • Schulung des Personals zum Erkennen von Phishing-Versuchen
  • Bereitstellung eines Datensicherungsprozesses, der Sicherungen extern speichert und zeitnahe Wiederherstellungen von Sicherungen testet.
  • Verfügen Sie über einen klaren Vorfallreaktionsplan, damit sofort Maßnahmen ergriffen werden können, wenn ein Angriff erkannt wird, und geben Sie die beteiligten Personen und ihre Verantwortlichkeiten an

NIST hat einen Entwurf eines Leitfadens zur Erkennung und Reaktion auf Ransomware veröffentlicht. „Bestimmte Branchen wie das Gesundheitswesen werden aufgrund ihrer vertraulichen Daten und ihrer relativen Anfälligkeit für Systemausfälle eher angegriffen als andere“, sagten die Coveware-Forscher. Die Existenz ist der Grund, warum Branchenverzerrungen auftreten.“

Die Coveware-Forscher wiesen darauf hin, dass professionelle Dienste wie Anwaltskanzleien oder Buchhaltungsbüros besonders gefährdet seien. Die 4,2 Millionen US-amerikanischen professionellen Dienstleistungsunternehmen machen 14 % der US-Unternehmen aus, aber Angriffe machen 25 % aus.

„Diese Branchen neigen dazu, Ransomware-Bedrohungen weniger ernst zu nehmen“, sagte Coveware. Sie lassen oft Schwachstellen wie RDP für das Internet offen, was sie anfälliger macht als Unternehmen in anderen Branchen. Es ist sehr wichtig zu verstehen, dass kleine professionelle Dienstleistungsunternehmen nicht nur wegen ihrer kleinen Größe unbeachtet bleiben. Die Welt der Cyber-Ausbeutung funktioniert so nicht. Wenn Sie eine einfache Schwachstelle im Internet aufdecken, werden Sie angegriffen. Es ist nur eine Frage der Zeit“, warnte er. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!