REvil Ransomware lid “UNKN” undercover aan het woord

Gepubliceerd op 2 december 2020 om 08:00
REvil Ransomware lid “UNKN” undercover aan het woord

De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af ​​te persen.

Ze worden gedreven door winst en willen $ 2 miljard (1,6 miljard euro) verdienen met hun ransomware-service, waarbij ze de meest lucratieve trends toepassen in hun zoektocht naar rijkdom.

“UNKN”

Een vertegenwoordiger van REvil die de aliassen “UNKN” en “Unknown” gebruikt op cybercriminele forums sprak met  'techblog Russisch OSINT'  en gaf wat details over de activiteit van de groep en hints over wat ze in petto hebben voor de toekomst.

Zoals bijna alle ransomware bendes, voert REvil een ransomware-as-a-service (RaaS) -operatie uit. Volgens dit model leveren ontwikkelaars malware voor het versleutelen van bestanden aan criminele organisaties die het meeste verdienen met het geld dat van de slachtoffers wordt afgeperst.

Verdeling buit

Met REvil krijgen de ontwikkelaars 20-30% en de rest van het betaalde losgeld gaat naar criminele organisatie die de aanvallen uitvoeren, gegevens stelen en de ransomware op bedrijfsnetwerken tot ontploffing brengen.

"Het meeste werk wordt gedaan door distributeurs en ransomware is slechts een hulpmiddel, dus ze denken dat dat een eerlijke verdeling is", zei de vertegenwoordiger van REvil, Unknown, tegen het Russische OSINT.

Dit betekent dat de ontwikkelaars het losgeldbedrag bepalen, de onderhandelingen voeren en het geld innen dat later wordt gesplitst met affiliates.

Lange lijst met slachtoffers

De cybercriminele operatie heeft computers gecodeerd bij grote bedrijven, waaronder Travelex, Grubman Shire Meiselas & Sacks  (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole en  GEDIA Automotive Group.

'UNKN' zegt dat aan REvil gelieerde ondernemingen de netwerken van Travelex en GSMLaw in slechts drie minuten konden doorbreken door misbruik te maken van een kwetsbaarheid in 'Pulse Secure VPN' die maandenlang niet was gepatcht nadat de fix beschikbaar kwam.

Volgend slachtoffer

De openbare vertegenwoordiger van REvil zegt dat het syndicaat het netwerk van een "groot gaming bedrijf" heeft geraakt en de aanval binnenkort zal aankondigen.

Ze zeggen ook dat REvil verantwoordelijk was voor de aanval in september op de openbare bank van Chili, BancoEstado. Het incident bracht de bank ertoe om al haar filialen een dag te sluiten, maar had geen invloed op internetbankieren, apps en geldautomaten.

Meest winstgevende doelen

Naast managed services providers (MSP's) die toegang hebben tot netwerken van meerdere organisaties, zijn de meest winstgevende doelen voor REvil bedrijven in de verzekerings-, juridische en landbouwsector.

Wat de eerste toegang betreft, noemde 'UNKN' zowel brute-force-aanvallen als Remote Desktop Protocol (RDP) in combinatie met nieuwe kwetsbaarheden.

Via kwetsbaarheden naar binnen

Een voorbeeld zijn kwetsbaarheden die worden gevolgd zijn  CVE-2020-0609  en  CVE-2020-0610  bugs en bekend als  BlueGate . Deze maken uitvoering van externe code mogelijk op systemen met Windows Server (2012, 2012 R2, 2016 en 2019).

REvil maakte aanvankelijk winst doordat slachtoffers het losgeld betaalden om versleutelde bestanden te ontgrendelen. Omdat de aanvallers ook de back-upservers sloten, hadden de slachtoffers weinig opties om te herstellen en was betalen de snelste manier.

Doxware nieuwe trend

De ransomware business veranderde vorig jaar toen operators een kans zagen om gegevens van gelekte netwerken te stelen en slachtoffers begonnen te bedreigen met schadelijke lekken die een veel grotere impact op het bedrijf zouden kunnen hebben.

Zelfs als het langer duurt en een aanzienlijke tegenslag veroorzaakt, kunnen grote bedrijven versleutelde bestanden herstellen via offline back-ups. Het hebben van gevoelige gegevens in de openbare ruimte of verkocht aan geïnteresseerde partijen kan echter synoniem zijn met het verliezen van het concurrentievoordeel en reputatieschade die moeilijk weer op te bouwen is.

Deze methode bleek zo lucratief te zijn dat REvil nu meer geld verdient met het niet publiceren van gestolen gegevens dan met het ontsleutelen van losgeld.

'UNKN' zegt dat een op de drie slachtoffers momenteel bereid is het losgeld te betalen om het lekken van bedrijfsgegevens te voorkomen. Dit zou de volgende stap kunnen zijn in de ransomware business.

DDoS als drukmiddel

REvil overweegt ook om een ​​andere tactiek te gebruiken die is ontworpen om hun kans op betaling te vergroten: het slachtoffer slaan met gedistribueerde denial-of-service (DDoS) -aanvallen om hen te dwingen op zijn minst (opnieuw) te beginnen met onderhandelen over een betaling.

'SunCrypt' ransomware  gebruikte deze tactiek  onlangs bij een bedrijf dat de onderhandelingen had stopgezet. De aanvallers maakten duidelijk dat ze de DDoS-aanval hadden gelanceerd en stopten deze toen de onderhandelingen werden hervat. REvil is van plan dit idee te implementeren.

Donatie op forum

Het model van REvil om geld te verdienen werkt en de bende heeft al genoeg in hun schatkist. In hun zoektocht naar nieuwe partners stortten ze  $ 1 miljoen (0,83 miljoen euro) aan bitcoins op een Russisch sprekend forum.

De donatie was bedoeld om te laten zien dat hun operatie veel winst oplevert. Volgens 'UNKN' is deze stap om het werven van nieuw bloed om de malware te verspreiden, aangezien de ransomware-scene tot de nok toe gevuld is met professionele cybercriminelen.

Hoewel ze vrachtwagenladingen met geld hebben, zijn REvil-ontwikkelaars beperkt tot de grenzen van de regio van het Gemenebest van Onafhankelijke Staten (GOS, landen in de voormalige Sovjet-Unie).

Reizen is te risicovol

Een reden hiervoor is het aanvallen van een groot aantal spraakmakende slachtoffers die aanleiding waren voor onderzoeken van wetshandhavingsinstanties van over de hele wereld. Als zodanig is reizen een risico dat REvil-ontwikkelaars niet willen nemen.

Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil.

Elite penetratie testers

Hun malware werd voor het eerst opgemerkt in april 2019 en de groep ging op zoek naar bekwame hackers (elite penetratie testers) kort nadat de 'GandCrab' ransomware de  winkel had gesloten .

'UNKN' zegt dat de groep de bestandscoderende malware niet helemaal zelf heeft gemaakt, maar de broncode heeft gekocht en er bovenop heeft ontwikkeld om het effectiever te maken.

Het maakt gebruik van 'elliptische curve-cryptografie (ECC)' die een kleinere sleutelgrootte heeft dan het op RSA gebaseerde openbare sleutelsysteem, zonder concessies te doen aan de beveiliging. UNKN zegt dat dit een van de redenen is waarom affiliates REvil verkiezen boven andere RaaS-operaties zoals Maze of LockBit.

Voordat ze hun bedrijf stopzetten, zeiden de ontwikkelaars van 'GandCrab' dat ze $ 150 miljoen (125 miljoen euro) verdienden, terwijl de hele operatie meer dan $ 2 miljard (1,6 miljard Euro) aan losgeld ophaalde.

De ambities van de REvil-ontwikkelaar zijn duidelijk groter.

Het gesprek met "UNKN" REvil Ransomware bende

Vertaling - Cybercrimeinfo.nl -

Bron: Russian OSINT

Meer info over ransomware lees je hier.

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen

Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.

Lees meer »

Klik en versleuteld is terug

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Lees meer »

Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Lees meer »