Dle výzkumníků společnosti Symantec přibyla do již tak obávaného arzenálu ransomwaru další zbraň - infekce REvil (známá také pod názvem Sodinokibi) skenuje sítě svých obětí na prodejních místech.
REvil je jedním z nejoblíbenějších Ransomware-as-a-service (RaaS), což znamená, že se prodává na Dark Webu v "hotových" balíčcích pro útok, a je známý svou velkou schopností proniknout do firemních sítí pomocí exploitů, zranitelných služeb RDP, phishingu a kompromitovaných poskytovatelů spravovaných služeb.
Útok
V poslední kampani se hackeři po získání přístupu do cílové sítě rozšířili do stran, ukradli data ze serverů a pracovních stanic a po získání administrátorského přístupu k řadiči domény zašifrovali všechny počítače v síti.
V rámci kampaně, kterou výzkumníci zaznamenali, použili útočníci stojící za softwarem REvil sadu nástrojů Cobalt Strike k nasazení různých užitečných zátěží v sítích svých cílů.
Výzkumníci našli Cobalt Strike celkem v sítích osmi společností, které byly cílem této kampaně, přičemž útočníci infikovali a zašifrovali ransomwarem REvil tři společnosti z odvětví služeb, potravinářství a zdravotnictví.
Cílem této kampaně byly především velké společnosti, včetně nadnárodních, které se pravděpodobně staly terčem útoku, protože útočníci věřili, že budou ochotny zaplatit vysoké výkupné, aby znovu získaly přístup ke svým systémům.
Každá z obětí byla požádána, aby zaplatila 50 000 dolarů v kryptoměně Monero nebo 100 000 dolarů, pokud uplyne tříhodinová lhůta.
Hackeři REvil Criminal se po získání přístupu do sítí svých cílů snažili vyhnout odhalení, přičemž využívali infrastrukturu hostovanou na legitimních službách, jako je Pastebin (úložiště užitečného obsahu) a Amazon CloudFront (příkazové a řídicí servery).
Také vypnuli bezpečnostní software, aby zabránili odhalení svých útoků, a ukradli přihlašovací údaje, které později použili k přidání "podvodných" účtů jako způsob, jak získat trvalost na napadených počítačích.
Skandály pro systémy PoS
Zatímco potravinářské podniky a podniky služeb byly ideálním cílem, protože se jednalo o velké organizace, které byly schopny zaplatit vysoké výkupné za dešifrování svých systémů, postižená zdravotnická společnost byla mnohem menší organizací, která výkupné nezaplatila.
V tomto případě, pravděpodobně motivovaném skutečností, že existovala vysoká pravděpodobnost, že oběť nebude schopna zaplatit za svůj "dešifrátor", operátoři REvilu také skenovali síť organizace a hledali systémy PoS, které se snažily kompenzovat údaji o kreditních kartách nebo jako další cenný cíl, který by bylo možné zašifrovat.
Přestože mnoho prvků tohoto útoku je "typickou" taktikou, kterou jsme viděli u předchozích útoků Sodinokibi, zajímavé je skenování systémů obětí pro software PoS, protože to není něco, co se obvykle děje u klasických kampaní ransomwaru.
Bude zajímavé sledovat, zda se jednalo pouze o oportunistickou aktivitu, nebo zda se z ní stane nová taktika.
Aby toho nebylo málo, začátkem tohoto měsíce spustil ransomware REvil také aukční stránku, kde prodává ukradená data svých obětí tomu, kdo nabídne nejvyšší cenu.
Pierguido Iezzi, spoluzakladatel společnosti Swascan