Unit 42, het threat intelligence team van Palo Alto Networks heeft een rapport uitgebracht met daarin alle tactieken die ransomware-groep REvil tot nu toe heeft gebruikt dit jaar. Ook deed het team een schatting naar het bedrag dat door REvil ransomware als losgeld werd binnengehaald.
REvil staat ook wel bekend als Ransomware Evil of Sodinokibi. In eerste instantie werkte de groep net als veel andere ransomware-groepen door kwaadaardige code te verspreiden via neppe advertenties die doorverwezen naar een Trojan-virus. Al snel tilde REvil zijn aanvallen naar een hoger niveau.
Tegenwoordig levert de REvil groep ‘Ransomware-as-a-Service’. De ransomware van REvil is gezien in een aantal grote aanvallen, zoals die op advocatenkantoor Travelex, Apple supplier Quanta Computer, French Connection UK en nog veel meer.
Een meer recente aanval met REvil is die op Kaseya. Via een lek in de software van Kaseya kregen criminelen toegang tot de systemen van 1.500 bedrijven.
Ransomware als meest dringende veiligheidsdreiging
“REvil is een elite groep onder de cyberafpersing gangs die verantwoordelijk zijn voor de piek in afmattende aanvallen die ransomware een van de meest dringende veiligheidsbedreigingen hebben gemaakt voor bedrijven en landen over de hele wereld”, verklaart John Martineau van Unit 42.
Martineau hield drie jaar lang bij wat REvil uitspookte en concludeerde dat de groep aanpasbare encryptors en decryptors aanbood. Daarnaast verkocht REvil ook infrastructuur en diensten om te onderhandelen met slachtoffers en een site om gestolen data te publiceren als een slachtoffer geen losgeld betaalt.
In ruil voor het leveren van ransomware en alle bijbehorende benodigdheden eist REvil een percentage van het losgeld. Volgens het onderzoek van Unit 41 haalden gebruikers van REvil ransomware gedurende de eerste zes maanden van 2021 gemiddeld 2,25 miljoen dollar aan losgeld op.
Hoe verloopt een REvil aanval?
Hackers die de technologie van REvil gebruiken, doen dat doorgaans op één van de volgende twee manieren:
- Ze versleutelen data, zodat een organisatie geen toegang heeft tot belangrijke computersystemen en ook geen backup kan terughalen
- Ze stelen data en dreigen deze online te publiceren
In sommige gevallen gebruiken hackers ook beide strategieën tegelijk.
De methode die REvil gebruikt om toegang te krijgen tot het systeem van het slachtoffer is deprimerend eenvoudig, beweert Martineau. De meestvoorkomende methodes zijn ‘gewoon’ het sturen van een phishing-bericht of proberen in te loggen in Remote Desktop Protocol (RDP) servers met eerder achterhaalde inloggegevens.
Zodra REvil aanvallers binnen zijn, verstevigen ze hun toegang door nieuwe gebruikersaccounts aan te maken, Cobalt Strike Beacon covert payload te installeren en antivirus, beveiligingsdiensten en andere beschermingssystemen uit te schakelen. Vervolgens wordt de impact van de aanval verder uitgebreid naar andere apparaten in het netwerk. Uiteindelijk worden de systemen doorgaans binnen 7 dagen versleuteld. Soms duurt het wat langer en gaan er bijvoorbeeld 23 dagen overheen.
Bescherm jezelf tegen REvil aanvallen
“IT en andere beschermers van netwerken moeten de tijd nemen om te zien wat er normaal is in hun omgevingen, zodat ze afwijkingen beter opmerken”, concludeert Martineau. De onderzoeker raadt aan om de bescherming van je bedrijf in twijfel te trekken en goed te testen.
In bijna elke REvil-aanval wordt er vroeg of laat een phishing mail gestuurd. Ook nemen RDP-aanvallen snel toe, dankzij eerder achterhaalde inloggegevens. Dit maakt het beschermen van je systemen een grote uitdaging.
Je weet nooit honderd procent zeker dat je een aanval buiten de deur kunt houden, maar regelmatig checken of je iets abnormaals ziet in je netwerk helpt wel degelijk om de organisatie te beveiligen.