REvil, una formidabile operazione Ransomware-as-a-Service (RaaS) che è venuta alla luce per la prima volta alla fine di aprile 2019, è tornata. Dopo sei mesi di inattività, a seguito del raid delle autorità russe, il gruppo ransomware sembra aver ripreso a funzionare.
L'analisi di nuovi campioni di ransomware rivela che lo sviluppatore ha accesso al codice sorgente di REvil, il che significa che il gruppo di minacce è riemerso. Questi sospetti sono stati ulteriormente rafforzati quando il sito dell'equipaggio del ransomware è stato rilanciato sul dark web.
Abbiamo già visto molti gruppi di ransomware, ma cosa rende speciale REvil? Cosa significa il ritorno del gruppo per il mondo cibernetico? Scopriamolo!
Cosa rende unico REvil Ransomware?
REvil si è costruito una reputazione per perseguire obiettivi di alto profilo e altamente redditizi e richiedere pagamenti esorbitanti dalle sue vittime. È anche uno dei primi gruppi ad adottare la tattica della doppia estorsione in cui esfiltravano i dati della vittima e li crittografavano.
Il ransomware a doppia estorsione lo schema consente a REvil di richiedere due riscatti per elevati guadagni finanziari. In un'intervista a OSINT russo, gli sviluppatori del gruppo hanno affermato di aver guadagnato più di 100 milioni di dollari in un anno prendendo di mira le grandi imprese. Tuttavia, solo una parte è andata agli sviluppatori, mentre gli affiliati hanno fatto la parte del leone.
Principali attacchi di REvil Ransomware
Il gruppo ransomware REvil è stato dietro ad alcuni di i più grandi attacchi ransomware del 2020-21. Il gruppo è salito alla ribalta per la prima volta nel 2020 quando ha attaccato Travelex, portando infine alla fine dell'azienda. L'anno successivo, REvil ha iniziato a fare notizia mettendo in scena attacchi informatici altamente redditizi che hanno interrotto le infrastrutture pubbliche e le catene di approvvigionamento.
Il gruppo ha attaccato aziende come Acer, Quanta Computer, JBS Foods e il fornitore di software e gestione IT Kaseya. Il gruppo probabilmente aveva alcuni collegamenti al famigerato attacco all'oleodotto coloniale, che ha interrotto la catena di approvvigionamento del carburante negli Stati Uniti.
A seguito dell'attacco ransomware Kaseya REvil, il gruppo è rimasto in silenzio per qualche tempo per mitigare l'attenzione indesiderata che aveva portato su di sé. C'erano molte speculazioni sul fatto che il gruppo stesse pianificando una nuova serie di attacchi nell'estate 2021, ma le forze dell'ordine avevano altri piani per gli operatori di REvil.
Giorno della resa dei conti per la REvil Cyber Gang
Quando la famigerata banda di ransomware è riemersa per nuovi attacchi, ha scoperto che la sua infrastruttura era compromessa e si è rivolta contro di loro. Nel gennaio 2022, il servizio di sicurezza statale russo FSB ha annunciato di aver interrotto le attività del gruppo su richiesta degli Stati Uniti.
Diversi membri della banda sono stati arrestati e i loro beni sequestrati, inclusi milioni di dollari USA, euro e rubli, oltre a 20 auto di lusso e portafogli di criptovaluta. Gli arresti del ransomware REvil sono stati effettuati anche nell'Europa orientale, inclusa la Polonia, dove le autorità hanno tenuto un sospetto nell'attacco di Kaseya.
La caduta di REvil dopo l'arresto di membri chiave del gruppo è stata naturalmente accolta con favore nella comunità della sicurezza e molti hanno pensato che la minaccia fosse passata del tutto. Tuttavia, il senso di sollievo è stato di breve durata poiché la banda ha ora ripreso le sue operazioni.
La rinascita di REvil ransomware
Ricercatori da opere sicure ha analizzato un campione di malware di marzo e ha suggerito che la banda potrebbe essere tornata in azione. I ricercatori hanno scoperto che lo sviluppatore probabilmente ha accesso al codice sorgente originale utilizzato da REvil.
Anche il dominio utilizzato dal sito Web di perdite di REvil ha ripreso a funzionare, ma ora reindirizza i visitatori a un nuovo URL in cui sono elencate più di 250 organizzazioni vittime di REvil. L'elenco contiene un mix di vecchie vittime di REvil e alcuni nuovi obiettivi.
Oil India, una compagnia petrolifera indiana, è stata la più importante delle nuove vittime. La società ha confermato la violazione dei dati e ha ricevuto una richiesta di riscatto di 7,5 milioni di dollari. Sebbene l'attacco abbia causato la speculazione sul fatto che REvil stesse riprendendo le operazioni, c'erano ancora dubbi sul fatto che si trattasse di un'operazione imitativa.
L'unico modo per confermare il ritorno di REvil era trovare un campione del crittografo dell'operazione ransomware e vedere se era stato compilato dal codice sorgente originale.
Alla fine di aprile, il ricercatore Avast Jakub Kroustek ha scoperto il crittografo ransomware e ha confermato che si trattava effettivamente di una variante di REvil. L'esempio non ha crittografato i file ma ha aggiunto un'estensione casuale ai file. Gli analisti della sicurezza hanno affermato che si trattava di un bug introdotto dagli sviluppatori di ransomware.
Diversi analisti della sicurezza hanno affermato che il nuovo campione di ransomware è legato al codice sorgente originale, il che significa che qualcuno della banda, ad esempio uno sviluppatore principale, deve essere stato coinvolto.
La composizione del gruppo di REvil
La ricomparsa di REvil dopo i presunti arresti all'inizio di quest'anno ha sollevato interrogativi sulla composizione del gruppo e sui suoi legami con il governo russo. La banda è diventata oscura a causa del successo della diplomazia statunitense prima dell'inizio del conflitto Russia-Ucraina.
Per molti, l'improvvisa rinascita del gruppo suggerisce che la Russia potrebbe voler usarlo come moltiplicatore di forza nelle tensioni geopolitiche in corso.
Dal momento che nessun individuo è stato ancora identificato, non è chiaro chi ci sia dietro l'operazione. Sono le stesse persone che hanno eseguito le operazioni precedenti o è stato rilevato un nuovo gruppo?
La composizione del gruppo di controllo è ancora un mistero. Ma visti gli arresti all'inizio di quest'anno, è probabile che il gruppo possa avere alcuni operatori che in precedenza non facevano parte di REvil.
Per alcuni analisti, non è raro che i gruppi di ransomware scendano e riappaiano in altre forme. Tuttavia, non si può eliminare del tutto la possibilità che qualcuno sfrutti la reputazione del marchio per prendere piede.
Protezione contro gli attacchi di REvil Ransomware
L'arresto del boss di REvil è stato un grande giorno per la sicurezza informatica, soprattutto quando i gruppi di ransomware hanno preso di mira qualsiasi cosa, dalle istituzioni pubbliche agli ospedali e alle scuole. Ma come si è visto con qualsiasi interruzione dell'attività criminale online, non significava la fine della pandemia di ransomware.
Il pericolo nel caso di REvil è lo schema di doppia estorsione in cui il gruppo cercherebbe di vendere i tuoi dati e offuscare l'immagine di un marchio e le relazioni con i clienti.
In generale, una buona strategia per contrastare tali attacchi è proteggere la rete e condurre test di simulazione. Un attacco ransomware si verifica spesso a causa di vulnerabilità senza patch e gli attacchi di simulazione possono aiutarti a identificarli.
Un'altra strategia di mitigazione chiave consiste nel verificare tutti prima che possano accedere alla tua rete. In quanto tale, una strategia zero-trust può essere vantaggiosa in quanto si basa sul principio di base di non fidarsi mai di nessuno e di verificare ogni utente e dispositivo prima di concedere loro l'accesso alle risorse di rete.
