REvil / Sodinokibi
REvil (ook bekend als Sodinokibi) ransomware werd voor het eerst geïdentificeerd op 17 april 2019.
Het wordt gebruikt door de financieel gemotiveerde hackersgroep 'Gold Southfield', die ransomware verspreidt via exploitkits, scan-en-exploit-technieken, RDP-servers en backdoor-software. Onderzoekers suggereren dat REvil waarschijnlijk wordt geassocieerd met de GandCrab-ransomware vanwege vergelijkbare code en de opkomst van REvil toen de GandCrab-activiteit afnam. Onderzoekers schrijven GandCrab toe aan de 'Gold Southfield' hackersgroep.
REvil kan de volgende taken uitvoeren. De meeste van deze mogelijkheden zijn configureerbaar, waardoor een aanvaller de payload kan verfijnen.
- Maak gebruik van de kwetsbaarheid van CVE-2018-8453 om bevoegdheden te verhogen
- Beëindig processen op de zwarte lijst voorafgaand aan versleuteling om bronconflicten te voorkomen
- Wis de inhoud van mappen op de zwarte lijst
- Versleutel bestanden en mappen die niet op de witte lijst staan op lokale opslagapparaten en netwerkshares
- Exfiltreert (omgekeerde van infiltreren) elementaire hostinformatie
REvil Ransomware lid “UNKN” undercover aan het woord
De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af te persen.
