REvil, een formidabele Ransomware-as-a-Service (RaaS)-operatie die eind april 2019 voor het eerst aan het licht kwam, is teruggekeerd. Na zes maanden van inactiviteit - na de inval door de Russische autoriteiten - lijkt de ransomware-groep haar activiteiten te hebben hervat.
Analyse van nieuwe ransomware-samples onthult dat de ontwikkelaar toegang heeft tot de broncode van REvil, wat betekent dat de bedreigingsgroep opnieuw is opgedoken. Deze vermoedens werden nog versterkt toen de site van de ransomware-crew opnieuw werd gelanceerd op het dark web.
We hebben al veel ransomware-groepen gezien, maar wat maakt REvil zo speciaal? Wat betekent het rendement van de groep voor de cyberwereld? Laten we het uitzoeken!
Wat maakt REvil Ransomware uniek?
REvil bouwde een reputatie op voor het nastreven van spraakmakende en zeer lucratieve doelen en het eisen van exorbitante betalingen van zijn slachtoffers. Het is ook een van de eerste groepen die de dubbele afpersingstactiek toepast, waarbij ze de gegevens van het slachtoffer exfiltreerden en versleutelden.
De dubbele afpersing ransomware Deze regeling stelt REvil in staat om twee losgelden te eisen voor grote financiële winsten. In een interview met Russische OSINT, beweerden de ontwikkelaars van de groep dat ze in één jaar meer dan $ 100 miljoen verdienden door zich op grote ondernemingen te richten. Slechts een fractie daarvan ging echter naar de ontwikkelaars, terwijl de filialen het leeuwendeel kregen.
Grote REvil Ransomware-aanvallen
De REvil ransomware-groep zit achter een aantal van de grootste ransomware-aanvallen van 2020-21. De groep kwam voor het eerst in de schijnwerpers in 2020 toen het Travelex aanviel, wat uiteindelijk leidde tot de ondergang van het bedrijf. Het jaar daarop begon REvil de krantenkoppen te halen door zeer lucratieve cyberaanvallen uit te voeren die de openbare infrastructuur en toeleveringsketens ontwrichtten.
De groep viel bedrijven als Acer, Quanta Computer, JBS Foods en de IT-beheer- en softwareleverancier Kaseya aan. De groep had waarschijnlijk enkele links naar de beruchte aanval op de koloniale pijpleiding, die de brandstofvoorzieningsketen in de VS verstoorde.
Na de Kaseya REvil ransomware-aanval viel de groep enige tijd stil om de ongewenste aandacht die het op zichzelf had gevestigd te verminderen. Er werd veel gespeculeerd dat de groep in de zomer van 2021 een nieuwe reeks aanslagen zou plannen, maar de politie had andere plannen met de operators van REvil.
Dag van de afrekening voor de REvil Cyber Gang
Toen de beruchte ransomwarebende weer opdook voor nieuwe aanvallen, ontdekten ze dat hun infrastructuur werd aangetast en keerden ze zich tegen hen. In januari 2022 maakte de Russische staatsveiligheidsdienst FSB bekend de activiteiten van de groep op verzoek van de Verenigde Staten te hebben verstoord.
Verschillende bendeleden werden gearresteerd en hun bezittingen werden in beslag genomen, waaronder miljoenen Amerikaanse dollars, euro's en roebels, evenals 20 luxe auto's en cryptocurrency-portefeuilles. De arrestaties van REvil-ransomware werden ook verricht in Oost-Europa, waaronder Polen, waar de autoriteiten een verdachte van de Kaseya-aanval vasthielden.
De ondergang van REvil na de arrestatie van belangrijke groepsleden werd natuurlijk verwelkomd in de veiligheidsgemeenschap, en velen gingen ervan uit dat de dreiging volledig was verdwenen. Het gevoel van opluchting was echter van korte duur, aangezien de bende haar activiteiten nu heeft hervat.
De heropleving van REvil Ransomware
Onderzoekers van Secureworks analyseerde een malware-sample van maart en liet doorschemeren dat de bende mogelijk weer in actie komt. De onderzoekers ontdekten dat de ontwikkelaar waarschijnlijk toegang heeft tot de originele broncode die door REvil wordt gebruikt.
Het domein dat door de REvil-lekwebsite werd gebruikt, begon ook weer te werken, maar het leidt nu bezoekers door naar een nieuwe URL waar meer dan 250 REvil-slachtofferorganisaties worden vermeld. De lijst bevat een mix van oude slachtoffers van REvil en een paar nieuwe doelwitten.
Oil India - een Indiase petroleumonderneming - was de meest prominente van de nieuwe slachtoffers. Het bedrijf bevestigde het datalek en kreeg een eis van $7,5 miljoen losgeld. Hoewel de aanval speculatie veroorzaakte dat REvil de operaties hervatte, waren er nog steeds vragen of dit een copycat-operatie was.
De enige manier om de terugkeer van REvil te bevestigen, was door een voorbeeld van de encryptor van de ransomware-operatie te vinden en te kijken of deze was gecompileerd op basis van de originele broncode.
Eind april ontdekte Avast-onderzoeker Jakub Kroustek de ransomware-encryptor en bevestigde dat het inderdaad een REvil-variant was. Het voorbeeld versleutelde geen bestanden, maar voegde een willekeurige extensie toe aan bestanden. Beveiligingsanalisten zeiden dat het een bug was die werd geïntroduceerd door de ransomware-ontwikkelaars.
Meerdere beveiligingsanalisten hebben verklaard dat het nieuwe ransomware-voorbeeld verband houdt met de oorspronkelijke broncode, wat betekent dat iemand van de bende, bijvoorbeeld een kernontwikkelaar, erbij betrokken moet zijn geweest.
De samenstelling van REvil's Group
De terugkeer van REvil na de vermeende arrestaties eerder dit jaar heeft vragen doen rijzen over de samenstelling van de groep en haar banden met de Russische regering. De bende werd donker vanwege de succesvolle Amerikaanse diplomatie voor het begin van het Rusland-Oekraïne-conflict.
Voor velen suggereert de plotselinge heropleving van de groep dat Rusland het misschien wil gebruiken als een krachtvermeerderaar in de aanhoudende geopolitieke spanningen.
Omdat er nog geen persoon is geïdentificeerd, is het onduidelijk wie er achter de operatie zit. Zijn dit dezelfde personen die de vorige operaties uitvoerden, of heeft een nieuwe groep het overgenomen?
De samenstelling van de controlerende groep is nog een raadsel. Maar gezien de arrestaties eerder dit jaar, is het waarschijnlijk dat de groep een paar operators heeft die niet eerder deel uitmaakten van REvil.
Voor sommige analisten is het niet ongebruikelijk dat ransomware-groepen ten onder gaan en in andere vormen weer verschijnen. Het is echter niet uitgesloten dat iemand de reputatie van het merk gebruikt om voet aan de grond te krijgen.
Bescherming tegen REvil Ransomware-aanvallen
De arrestatie van REvil's spil was een grote dag voor cybersecurity, vooral toen ransomware-groepen zich op alles richtten, van openbare instellingen tot ziekenhuizen en scholen. Maar zoals te zien is aan elke verstoring van online criminele activiteiten, betekende dit niet het einde van de ransomware-pandemie.
Het gevaar in het geval van REvil is het dubbele afpersingsschema waarbij de groep zou proberen uw gegevens te verkopen en het imago en de klantrelaties van een merk te bezoedelen.
Over het algemeen is een goede strategie om dergelijke aanvallen tegen te gaan het beveiligen van uw netwerk en het uitvoeren van simulatietests. Een ransomware-aanval vindt vaak plaats vanwege niet-gepatchte kwetsbaarheden, en simulatie-aanvallen kunnen u helpen deze te identificeren.
Een andere belangrijke risicobeperkende strategie is om iedereen te verifiëren voordat ze toegang krijgen tot uw netwerk. Als zodanig kan een zero-trust-strategie gunstig zijn, omdat deze werkt volgens het basisprincipe om nooit iemand te vertrouwen en elke gebruiker en elk apparaat te verifiëren voordat ze toegang krijgen tot netwerkbronnen.