Le ransomware REvil expliqué : une opération d’extorsion généralisée

REvil est une opération de ransomware-as-a-service (RaaS) qui a extorqué de grosses sommes d’argent à des organisations du monde entier au cours de l’année écoulée. Son nom signifie Ransomware Evil et a été inspiré par la série de films Resident Evil. Selon des rapports récents de sociétés de sécurité, c’est le ransomware et le groupe derrière lui redouble d’efforts pour extorquer des fonds en volant également des données commerciales et en menaçant de les publier.

REvil, également connu sous le nom de Sodinokibi, est apparu pour la première fois en avril 2019 et a pris de l’importance après qu’un autre gang RaaS appelé GandCrab a fermé son service. Au début de REvil, les chercheurs et les entreprises de sécurité l’ont identifié comme une souche de GandCrab, ou du moins ont établi de multiples liens entre les deux. Un membre présumé du groupe, utilisant le pseudonyme Unknown, a confirmé dans une récente interview que le ransomware n’était pas une nouvelle création et qu’il était construit sur une base de code plus ancienne que le groupe a acquise.

Les développeurs à l’origine des opérations RaaS s’appuient sur d’autres cybercriminels appelés affiliés pour distribuer le ransomware à leur place. En fait, les développeurs de ransomwares gagnent entre 20 % et 30 % des revenus illégaux, le reste allant aux affiliés qui font le travail nécessaire pour accéder aux réseaux d’entreprise et déployer le malware.

Plus une opération RaaS est réussie, plus elle a de chances d’attirer des affiliés qualifiés et si une opération ferme, les affiliés passent rapidement à une autre. Cela s’est produit avec GandCrab dans le passé et plus récemment avec le groupe Maze, dont les membres ont annoncé leur retraite plus tôt ce mois-ci et dont les affiliés ont rapidement déménagé dans une nouvelle famille de ransomwares appelée Egregor, également connue sous le nom de Sekhmet.

En juillet 2021, les affiliés de REvil ont exploité des vulnérabilités zero-day dans un outil de gestion et de surveillance des systèmes développé par une société appelée Kaseya pour compromettre plus de 30 fournisseurs de services gérés (MSP) du monde entier et plus de 1 000 réseaux d’entreprise gérés par ces MSP. . L’attaque a attiré l’attention des médias et a même déclenché une discussion sur le sujet des ransomwares entre États-Unis Président Joe Biden et le président russe Vladimir Poutine. Peu de temps après les pourparlers, Les sites Web de REvil ont cessé de fonctionner et le groupe est devenu silencieux, ce qui a suscité des spéculations selon lesquelles les forces de l’ordre russes auraient pu prendre des mesures à son encontre. Kaseya a également reçu une clé principale de déchiffrement qui fonctionnait pour toutes les victimes d’un « tiers de confiance sans nom. »

Le 9 septembre, les analystes de la cybercriminalité de Flashpoint a signalé que les sites Web de REvil sont de nouveau en ligne et qu’un nouveau représentant du groupe a publié des messages sur des forums clandestins pour expliquer ce qui s’est passé. Selon ces articles, la clé de déchiffrement principale a été générée accidentellement par l’un des codeurs du groupe et a été regroupée avec les clés de déchiffrement individuelles de certaines des victimes. Le groupe s’efforce également de rétablir les relations avec ses collaborateurs et affiliés après sa disparition brutale, a rapporté Flashpoint.

En septembre, l’équipe IBM Security X-Force Incident Response a signalé qu’un incident de cybersécurité sur quatre auquel il a été demandé de remédier cette année dans les réseaux des clients était une infection par un ransomware. De plus, une infection par ransomware sur trois impliquait REvil/Sodinokibi.

« La souche de ransomware qu’IBM Security X-Force a le plus fréquemment rencontrée en 2020 est Sodinokibi (également connu sous le nom de REvil), un modèle d’attaque de ransomware-as-a-service (RaaS) qui a tiré parti des attaques mixtes de ransomware et d’extorsion. cette année, » les chercheurs ont déclaré à l’époque. « Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet lorsqu’ils n’étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les engagements de ransomware IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus qualifiés pour accéder aux réseaux de victimes que d’autres souches de ransomware. »

IBM Security X-Force a estimé que REvil a touché au moins 140 organisations depuis son apparition en avril 2019, la vente en gros, la fabrication et les services professionnels étant les secteurs les plus fréquemment ciblés. Environ 60 % des victimes du gang sont des organisations des États-Unis, suivies du Royaume-Uni, de l’Australie et du Canada.

La société estime également qu’un tiers des victimes de REvil ont payé la rançon et qu’une sur dix a vu ses informations sensibles vendues aux enchères sur le web sombre. Un tiers des victimes du groupe se sont fait voler leurs données.

Le gang REvil semble ajuster ses demandes de rançon en fonction des revenus annuels des organisations de victimes, c’est pourquoi ses demandes varient considérablement entre 1 500 et 42 millions de dollars et jusqu’à 9 % des revenus annuels de la victime. IBM a également identifié un certain chevauchement entre REvil et un groupe de cybercriminels connu sous le nom de FIN7, également connu sous le nom de Carbanak, bien que cela puisse être dû au fait qu’un affilié passe un contrat avec les deux.

Les chercheurs d’IBM estiment que les bénéfices de REvil au cours de l’année écoulée s’élevaient à au moins 81 millions de dollars. Une interview par un blogueur russe avec le représentant présumé du groupe REvil Inconnu semble le confirmer. Le cybercriminel affirme que le groupe a gagné plus de 100 millions de dollars US grâce à ses attaques de ransomware. Fin septembre, le groupe a déposé 1 million de dollars dans bitcoin sur un forum de hackers dans le but de recruter des hackers plus qualifiés pour devenir ses affiliés, BleepingComputer signalé.

Vol de données, extorsion et promesses vides< /h2>

Plus tôt ce mois-ci, Coveware, une entreprise spécialisée dans la réponse aux incidents de ransomware, a rapporté que REvil/Sodinokibi détenait la plus grande part de marché parmi les groupes de ransomware au cours du troisième trimestre 2020, étant responsable de 16% des infections. Le groupe était également en tête au cours du trimestre précédent. Près de la moitié de tous les cas de ransomware étudiés par la société impliquaient également des menaces de divulgation de données exfiltrées, un nombre croissant de groupes adoptant cette technique.

« Coveware estime que nous avons atteint un point de non-retour avec la tactique d’exfiltration de données », a déclaré la société de sécurité. « Malgré que certaines entreprises choisissent de payer les acteurs de la menace pour ne pas divulguer les données exfiltrées, Coveware a vu s’effilocher les promesses des cybercriminels (si c’est une chose) de supprimer les données. »

En particulier, Coveware a connu des incidents où des victimes qui avaient déjà payé ont été extorquées par REvil quelques semaines plus tard avec des menaces de divulguer les mêmes données. D’autres groupes n’ont pas non plus tenu leurs promesses en publiant les données des victimes qui ont choisi de payer ou en montrant de fausses preuves de suppression de données.

« Contrairement à la négociation d’une clé de déchiffrement, la négociation pour la suppression des données volées n’a pas de fin définie », a déclaré la société. « Une fois qu’une victime reçoit une clé de déchiffrement, elle ne peut pas être emportée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir pour un deuxième paiement à tout moment dans le futur. Les antécédents sont trop courts et les preuves que les défauts se produisent de manière sélective sont déjà en train de s’accumuler. En conséquence, nous conseillons vivement à toutes les victimes d’exfiltration de données de prendre des mesures difficiles, mais responsables. Il s’agit notamment d’obtenir les conseils d’avocats compétents en matière de protection de la vie privée, d’effectuer une enquête sur les données collectées et d’effectuer les notifications nécessaires résultant de cette enquête et de ces conseils. »

Inconnu, le représentant de REvil, a déclaré au blogueur russe que le groupe envisageait également d’adopter d’autres techniques, telles que le lancement de déni de service distribué (DDoS) pour forcer la main des organisations qui suspendent négociations.

Comment fonctionne REvil

REvil est l’un des programmes de rançongiciels déployés lors de campagnes de rançongiciels à commande humaine, similaire à Ryuk, WastedLocker et autres. Cela signifie qu’après s’être introduits, les pirates utilisent une variété d’outils et de techniques pour cartographier le réseau, effectuer des mouvements latéraux, obtenir des privilèges d’administrateur de domaine et déployer le ransomware sur tous les ordinateurs afin de maximiser l’impact.

Étant donné que REvil est distribué par différentes filiales, les vecteurs d’accès initiaux diffèrent entre phishing e-mails contenant des pièces jointes malveillantes aux identifiants RDP (Remote Desktop Protocol) compromis et l’exploitation des vulnérabilités dans divers services publics. Par exemple, l’année dernière, les pirates de REvil ont eu accès aux systèmes en exploitant une vulnérabilité connue dans Oracle Weblogic (CVE-2019-2725).

Selon le rapport de Coveware, REvil est désormais distribué principalement par le biais de sessions RDP compromises (65 %), d’hameçonnage (16 %) et de vulnérabilités logicielles (8 %). Unknown a également confirmé dans son interview que de nombreux affiliés de REvil utilisent attaques par force brute pour compromettre RDP.

REvil se distingue des autres programmes de ransomware par son utilisation de l’échange de clés Diffie-Hellman à courbe elliptique au lieu de RSA et Salsa20 au lieu d’AES pour chiffrer les fichiers. Ces algorithmes cryptographiques utilisent des clés plus courtes, sont très efficaces et indéchiffrables s’ils sont correctement mis en œuvre.

Le ransomware tue certains processus sur les machines infectées, y compris les clients de messagerie, SQL et autres serveurs de bases de données, les programmes Microsoft Office, les navigateurs et autres outils susceptibles de verrouiller ou de sauvegarder des fichiers importants dans la RAM. Il supprime ensuite les clichés instantanés Windows des fichiers et autres sauvegardes pour empêcher la récupération des fichiers.

Comment se défendre contre REvil

Les organisations doivent toujours sécuriser leur accès à distance avec des informations d’identification solides et authentification à deux facteurs et devrait envisager de rendre ces services disponibles uniquement via VPN. Tous les serveurs, applications et appliances publiquement exposés doivent être tenus à jour et régulièrement analysés pour détecter les vulnérabilités, les erreurs de configuration et les comportements suspects. Les protections par force brute qui bloquent les tentatives de connexion excessives avec de mauvaises informations d’identification doivent également être activées dans la mesure du possible.

Au sein des réseaux locaux, effectuez les actions suivantes :

• Bloquer les communications SMB et RPC inutiles entre les points de terminaison qui peuvent être utilisées pour le mouvement latéral.
• Surveiller les comptes privilégiés pour détecter les comportements suspects.
• Réduisez la surface d’attaque sur les points de terminaison grâce à des règles de contrôle d’accès plus strictes sur les dossiers et les processus.
• Partages réseau sécurisés.
• Former les employés à la détection des tentatives d’hameçonnage.
• Mettre en place un processus de sauvegarde des données qui stocke les sauvegardes hors site et vérifie que la restauration à partir des sauvegardes peut être effectuée en temps opportun.
• Mettre en place des plans de réponse aux incidents clairement définis afin que des mesures puissent être prises immédiatement si une attaque est détectée. Il doit être clair qui est impliqué dans ce processus et quelles sont leurs responsabilités. Le NIST a publié un projet de guide< /a> sur la détection et la réponse aux ransomwares.

Toute l’actualité en temps réel, est sur L’Entrepreneur