Este grupo de ransomware afirma que ganó $100 millones en un año
Los desarrolladores de ransomware REvil dicen que ganaron más de $100 millones en un año. Según ello, lograron esto extorsionando a grandes empresas de varios sectores en todo el mundo.
Están impulsados por las ganancias y quieren ganar $2 mil millones de su servicio de ransomware. Por ello, están adoptando las tendencias más lucrativas en su búsqueda de riqueza.
Los afiliados hacen el trabajo duro
Un representante de REvil que usa los alias “UNKN” y “Unknown” en los foros de ciberdelincuentes habló con el blog de tecnología Russian OSINT. En la entrevista ofreció algunos detalles sobre la actividad del grupo y pistas de lo que tienen reservado para el futuro.
Como casi todas las bandas de ransomware de hoy, REvil ejecuta una operación de ransomware-as-a-service (RaaS – Ransomware como Servicio). Según este modelo, los desarrolladores suministran malware de cifrado de archivos a los afiliados, que ganan la mayor parte del dinero extorsionado a las víctimas.
Con REvil, los desarrolladores toman del 20 al 30% y el resto del rescate pagado va a los afiliados. Esto son quienes ejecutan los ataques, roban datos y detonan el ransomware en las redes corporativas.
“La mayor parte del trabajo lo realizan los distribuidores y el ransomware es solo una herramienta, por lo que creen que es una división justa”. .
Afirmaciones del representante de REvil, Unknown, a Russian OSINT
Esto significa que los desarrolladores establecen el monto del rescate, llevan a cabo las negociaciones y cobran el dinero que luego se divide con los afiliados.
Larga lista de víctimas
La operación de los ciberdelincuentes ha cifrado computadoras en empresas de renombre, entre ellas Travelex, Grubman Shire Meiselas & Sacks (GSMLaw). Asimismo, Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole y GEDIA Automotive Group.
Unknown dice que los afiliados de REvil pudieron violar las redes de Travelex y GSMLaw en solo tres minutos. Lograron su objetivo al explotar una vulnerabilidad en Pulse Secure VPN que dejaron sin parchear durante meses después de que la solución estuvo disponible.
El representante de cara al público de REvil dice que el sindicato ha llegado a la red de una “importante empresa de juegos”. Afirman que pronto anunciarán el ataque.
También dicen que REvil fue responsable del ataque en septiembre contra el banco público de Chile, BancoEstado. El incidente llevó al banco a cerrar todas sus sucursales por un día. Sin embargo, no afectó la banca en línea, las aplicaciones y los cajeros automáticos.
Los proveedores de servicios administrados (MSP) que tienen acceso a redes de múltiples organizaciones son de los objetivos favoritos del grupo. Sin embargo, los objetivos más rentables para REvil son las empresas de los sectores de seguros, legal y agrícola.
En cuanto al acceso inicial, Unknown mencionó los ataques de fuerza bruta, así como el protocolo de escritorio remoto (RDP) combinado con nuevas vulnerabilidades.
Un ejemplo son las vulnerabilidades identificadas como vulnerabilidades CVE-2020-0609 y CVE-2020-0610 y conocidas como BlueGate. Estas permiten la ejecución remota de código en sistemas que ejecutan Windows Server (2012, 2012 R2, 2016 y 2019).
Nuevas vías para hacer dinero
REvil inicialmente se benefició de que las víctimas pagaran el rescate para desbloquear archivos cifrados. Dado que los atacantes también bloquearon los servidores de respaldo, las víctimas tenían pocas opciones para recuperarse y pagar era la forma más rápida.
El negocio del ransomware cambió el año pasado. Los operadores vieron la oportunidad de robar datos de redes violadas y comenzaron a amenazar a las víctimas con filtraciones dañinas. Las filtraciones podrían tener un impacto mucho peor en la empresa.
Incluso si lleva más tiempo y causa un revés significativo, las grandes empresas pueden recuperar archivos cifrados de copias de seguridad sin conexión. Sin embargo, tener datos confidenciales en el espacio público o vendidos a partes interesadas es peor. Esto puede ser sinónimo de perder la ventaja competitiva y el daño a la reputación que es difícil de reconstruir.
Este método demostró ser tan lucrativo que REvil ahora gana más dinero al no publicar datos robados que al descifrar los archivos.
Unknown dice que una de cada tres víctimas está actualmente dispuesta a pagar el rescate para evitar la filtración de datos de la empresa. Este podría ser el siguiente paso en el negocio del ransomware.
REvil también está pensando en adoptar otra táctica diseñada para aumentar sus probabilidades de que le paguen. Quieren golpear a la víctima con ataques distribuidos de denegación de servicio (DDoS) para obligarla a al menos (re) comenzar a negociar un pago.
El ransomware SunCrypt utilizó esta táctica recientemente en una empresa que había detenido las negociaciones. Los atacantes dejaron en claro que lanzaron el ataque DDoS y lo terminaron cuando se reanudaron las negociaciones. REvil planea implementar esta idea.
Mucho dinero
El modelo de REvil para ganar dinero está funcionando y el grupo ya tiene mucho en sus arcas. En su búsqueda de nuevos afiliados, depositaron $1 millón en bitcoins en un foro de habla rusa.
Aunque tienen grandes cantidades de dinero, los desarrolladores de REvil están confinados a las fronteras de la región de la Comunidad de Estados Independientes. El CEI, países de la antigua Unión Soviética.
Una razón de esto es atacar a una gran cantidad de víctimas de alto perfil. Sus acciones motivaron investigaciones de las agencias de aplicación de la ley de todo el mundo. Como tal, viajar es un riesgo que los desarrolladores de REvil no están dispuestos a asumir.
REvil construido sobre código antiguo
Este grupo de ransomware también es conocido como Sodin o Sodinokibi, pero el nombre REvil está inspirado en la película Resident Evil. Su nombre significa Ransomware Evil.
Su malware se detectó por primera vez en abril de 2019 y el grupo comenzó a buscar hackers calificados (pentesters de élite). Esto ocurrió poco después de que el ransomware GandCrab cerrara operaciones.
Unknown dice que el grupo no creó el malware de cifrado de archivos desde cero. Ellos compraron el código fuente y lo desarrolló para hacerlo más efectivo.
Utiliza criptografía de curva elíptica (ECC). Es decir, tiene un tamaño de clave más pequeño que el sistema de clave pública basado en RSA, sin comprometer la seguridad. Unknown dice que esta es una de las razones por las que los afiliados eligen REvil sobre otras operaciones de RaaS como Maze o LockBit.
Antes de cerrar su negocio, los desarrolladores de GandCrab dijeron que ganaron $150 millones. No obstante, toda la operación recaudó más de $2 mil millones en pagos de rescate.
Claramente, las ambiciones de los desarrolladores de REvil son mayores.
Unknown confirmó que la entrevista (en ruso) era real. Por lo tanto, lo aquí escrito es real.