REvil / Sodinokibi

REvil (ook bekend als Sodinokibi) ransomware werd voor het eerst geïdentificeerd op 17 april 2019.

Het wordt gebruikt door de financieel gemotiveerde hackersgroep 'Gold Southfield', die ransomware verspreidt via exploitkits, scan-en-exploit-technieken, RDP-servers en backdoor-software. Onderzoekers suggereren dat REvil waarschijnlijk wordt geassocieerd met de GandCrab-ransomware vanwege vergelijkbare code en de opkomst van REvil toen de GandCrab-activiteit afnam. Onderzoekers schrijven GandCrab toe aan de 'Gold Southfield' hackersgroep.

REvil kan de volgende taken uitvoeren. De meeste van deze mogelijkheden zijn configureerbaar, waardoor een aanvaller de payload kan verfijnen.

  • Maak gebruik van de kwetsbaarheid van CVE-2018-8453 om bevoegdheden te verhogen
  • Beëindig processen op de zwarte lijst voorafgaand aan versleuteling om bronconflicten te voorkomen
  • Wis de inhoud van mappen op de zwarte lijst
  • Versleutel bestanden en mappen die niet op de witte lijst staan ​​op lokale opslagapparaten en netwerkshares
  • Exfiltreert (omgekeerde van infiltreren) elementaire hostinformatie