Kolejna broń dodana do i tak już przerażającego arsenału ransomware, według badaczy Symantec, infekcja REvil (znana również jako Sodinokibi) została zaobserwowana podczas skanowania sieci swoich ofiar w poszukiwaniu urządzeń POS.
REvil jest jednym z najpopularniejszych Ransomware-as-a-service (RaaS), co oznacza, że jest sprzedawany w Dark Web w "gotowych" pakietach do ataku i jest znany z dużej zdolności do naruszania sieci korporacyjnych przy użyciu exploitów, podatnych usług RDP, phishingu i skompromitowanych dostawców usług zarządzanych.
Atak
W swojej najnowszej kampanii, po uzyskaniu dostępu do sieci celu, hakerzy rozprzestrzeniali się na boki, kradnąc również dane z serwerów i stacji roboczych, a następnie szyfrując wszystkie maszyny w sieci po uzyskaniu dostępu administracyjnego do kontrolera domeny.
W ramach kampanii zaobserwowanej przez badaczy, atakujący za REvil wykorzystali zestaw narzędzi Cobalt Strike do rozmieszczenia różnych ładunków w sieciach swoich celów.
W sumie badacze znaleźli Cobalt Strike w sieciach ośmiu firm będących celem tej kampanii, przy czym atakujący zainfekowali i zaszyfrowali ransomware REvil trzy firmy z sektora usług, żywności i opieki zdrowotnej.
Przedsiębiorstwa, które były celem tej kampanii, to głównie duże korporacje, w tym międzynarodowe, które prawdopodobnie były celem ataku, ponieważ napastnicy wierzyli, że będą skłonni zapłacić duży okup, aby odzyskać dostęp do swoich systemów.
Każda z ofiar została poproszona o zapłacenie 50 000 dolarów w kryptowalucie Monero lub 100 000 dolarów, jeśli upłynie trzygodzinny termin.
Hakerzy z organizacji REvil Criminal robili wszystko, aby uniknąć wykrycia po uzyskaniu dostępu do sieci swoich celów, wykorzystując infrastrukturę hostowaną w legalnych serwisach, takich jak Pastebin (przechowywanie ładunku) i Amazon CloudFront (serwery dowodzenia i kontroli).
Wyłączyli również oprogramowanie zabezpieczające, aby zapobiec wykryciu ich ataków i ukradli dane uwierzytelniające, które następnie wykorzystali do dodania "nieuczciwych" kont jako sposobu na uzyskanie trwałości na skompromitowanych maszynach.
Skróty dla systemów PoS
Podczas gdy firmy z branży spożywczej i usługowej były idealnym celem, ponieważ były to duże organizacje, które były w stanie zapłacić wysoki okup za odszyfrowanie swoich systemów, firma z sektora opieki zdrowotnej była znacznie mniejszą organizacją, która nie zdołała zapłacić okupu.
W tym przypadku, prawdopodobnie motywowani faktem, że istniało duże prawdopodobieństwo, że ofiara nie będzie w stanie zapłacić za swój "deszyfrator", operatorzy REvil przeskanowali również sieć organizacji w poszukiwaniu systemów PoS, próbując zrekompensować to sobie danymi z kart kredytowych lub jako inny cenny cel do zaszyfrowania.
Podczas gdy wiele elementów tego ataku to "typowe" taktyki widziane w poprzednich atakach z użyciem Sodinokibi, skanowanie systemów ofiar w poszukiwaniu oprogramowania PoS jest interesujące, ponieważ nie jest to coś, co zazwyczaj zdarza się podczas klasycznych kampanii ransomware.
Będzie interesujące zobaczyć, czy było to tylko oportunistyczne działanie, czy też stanie się to nową taktyką.
Jakby tego było mało, na początku tego miesiąca, ransomware REvil uruchomił również stronę aukcyjną, aby sprzedać skradzione dane swoich ofiar najwyżej licytującemu.
By Pierguido Iezzi, Co-Founder Swascan