Gruppo TIM
Gruppo TIM

Il ransomware REvil

REvil (Ransomware Evil, noto anche come Sodinokibi) è un’operazione Ransomware-as-a-Service (RaaS) privata di lingua russa. Dopo un attacco, REvil è solito minacciare di pubblicare le informazioni sulla propria pagina (Happy Blog) nel caso in cui il riscatto non vegna pagato. 

 

La storia di REvil

REvil recluta affiliati per distribuire il ransomware per loro conto. Come parte di questo accordo, gli affiliati e gli sviluppatori di ransomware dividono le entrate generate dai pagamenti del riscatto. 

È difficile individuare la loro posizione esatta, ma si pensa che abbiano sede in Russia poiché il gruppo non prende di mira le organizzazioni russe o quelle dei paesi dell’ex blocco sovietico.

Il codice ransomware utilizzato da REvil assomiglia al codice utilizzato da DarkSide, un diverso gruppo di hacker. 

Infatti, il codice di REvil non è pubblicamente disponibile, il che suggerisce che DarkSide sia una propaggine di REvil o un suo partner. 

REvil e DarkSide utilizzano note di riscatto strutturate in modo simile e lo stesso codice per verificare che la vittima non si trovi in un paese del Commonwealth of Independent States (CIS).

Gli esperti di sicurezza informatica ritengono che REvil sia una propaggine di una precedente banda di hacker famigerata, ma ora defunta: GandCrab. 

Ciò è sospettato a causa del fatto che REvil è diventato attivo per la prima volta subito dopo l’arresto di GandCrab e che entrambi i ransomware condividono una quantità significativa di codice.

 

Gli attacchi di REvil

La banda di ransomware conosciuta come REvil esiste da anni e, secondo varie stime, il 42% di tutti i recenti attacchi ransomware sono attribuibili a loro.

Nella prima metà del 2021, la banda ha colpito almeno 1.000 aziende attaccando la società di software Kaseya. È stata una delle più ampie campagne ransomware mai condotte.

Nello stesso periodo, REvil ha anche colpito il fornitore di carne JBS e ha chiesto il pagamento di 11 milioni di dollari. 

In un altro importante caso, REvil ha attaccato un fornitore del gigante tecnologico Apple e ha rubato gli schemi riservati dei loro prodotti in uscita.

 

Le caratteristiche di REvil

Il ransomware non presenta particolari tecniche di offuscamento se non per quanto riguarda le funzioni API importate e le stringhe. 

Queste ultime vengono estratte utilizzando un enorme buffer composto da una serie di coppie di chiavi RC4 e dei relativi dati cifrati.

Da quanto osservato nel corso dell’analisi del CERT-AgID, la prima azione compiuta dal ransomware è proprio quella di decifrare la propria configurazione: si tratta di una stringa JSON cifrata con RC4 tramite una chiave fissa ed in chiaro. 

Tra le informazioni contenute nel JSON, che riguardano principalmente le istruzioni tecniche (le estensioni, i processi da bloccare, etc.), è presente anche una lista di domini (C2) utilizzata dal malware per notificare che quella determinata macchina è stata compromessa con successo. 

I dati passati al C2 indicano anche se il target su cui si sta lavorando sia da attaccare oppure no (chiave “bro”). 

È interessante notare che la lista dei C2, che si presume siano tutti domini compromessi, ne comprende 8 italiani.

Il ransomware raccoglie informazioni sulla macchina (nome utente, nome computer, dominio o gruppo di lavoro e legge lo spazio libero e i volumi presenti) e si disinnesca qualora il layout della tastiera o la lingua del sistema corrispondano ad un paese ex-URSS o alla Siria.

Dalle stringhe decodificate è stato possibile risalire ai parametri che possono essere passati al ransomware da riga di comando. 

Tra questi la possibilità di cifrare un percorso specifico sul disco o di evitare la cifratura delle cartelle condivise o ancora la modalità safeboot mode.

La modalità “Smode” (safeboot mode) si attiva con il parametro -smode, in tal caso il ransomware provvede ad impostare la password dell’utente corrente come “DTrump4ever”, configura l’auto-logon ed abilita la modalità provvisoria con rete prima di procedere con il riavvio del sistema.

 

Consigli per difendersi

Monitorare e rispondere agli avvisi: assicurarsi che gli strumenti, i processi e le risorse (persone) siano disponibili per monitorare, indagare e rispondere alle minacce rilevate nell’ambiente. 

Impostare e applicare password complesse: le password complesse sono una delle prime linee di difesa. Le password devono essere univoche o complesse e mai riutilizzate.

Multi Factor Authentication (MFA): l’autenticazione a più fattori è uno strumento utile proteggere l’accesso a risorse critiche come posta elettronica, strumenti di gestione remota e risorse di rete.

Bloccare i servizi accessibili: è necessario eseguire scansioni della rete della propria organizzazione dall’esterno, identificare e bloccare le porte solitamente utilizzate da VNC, RDP o altri strumenti di accesso remoto. 

Segmentazione e Zero-Trust: separare i server tra di loro e dalle workstation inserendoli in VLAN separate mentre si lavora a un modello di rete zero-trust.

Effettuare backup offline di informazioni e applicazioni: tenerli aggiornati e conservare una copia offline.

Fare l’inventario delle proprie risorse e dei propri account: i dispositivi non protetti e privi di patch nella rete aumentano il rischio e creano una situazione in cui le attività dannose potrebbero passare inosservate.

Installare una protezione a più livelli per bloccare gli aggressori nel maggior numero possibile di punti ed estendere tale sicurezza a tutti gli endpoint consentiti sulla propria rete.

Configurazione del prodotto: è importante assicurarsi che le soluzioni di sicurezza siano configurate correttamente e aggiornare regolarmente le policy. 

Tenere aggiornati Windows e altri software: ciò permette di controllare che le patch siano state installate correttamente e, in particolare, siano presenti per sistemi critici come macchine con connessione a Internet o controller di dominio.