Technológia

A REvil leányvállalatai tetemes váltságdíjas kedvezményeket kínálnak – derül ki az adatokból

A REvil vagy Sodinokibi, úgy tűnik, hogy a ransomware személyzete és leányvállalatai agresszíven fokozták támadásaikat 2021 júniusában, a LeMagIT által megszerzett adatok szerint, A Computer Weekly francia nővércíme.

A LeMagIT az elmúlt 30 napban összesen 35 áldozatot talált, valamivel többet, mint áprilisban, ami 30% -kal magasabb a franchise legaktívabb időszakaiban, nevezetesen 2020 augusztusában és októberében, valamint 2021 februárjában és márciusában.

A legénység sötét internetes oldalain található oldalak száma jelzi a szindikátus tevékenységének mértékét: 2021. június 3-án 356, június 28-án pedig 383 áldozatot sorolt ​​fel, összesen 27 új áldozatot. Nyolcan hiányozni látszanak, ami azt jelezheti, hogy váltságdíjat fizettek, bár a valóság más lehet.

A június folyamán gyűjtött REvil / Sodinokibi minták közül öt olyan tárgyalásokat emel ki, amelyek legalább egy váltságdíj fizetéséhez vezettek, ami körülbelül 20% -os sikerarányt jelent. Ez „jobb”, mint a csoport leányvállalatai áprilisban és májusban, de úgy tűnik, hogy költségekkel jár – mély leértékelés formájában.

Az első, a LeMagIT által elemzett esetben a kezdeti váltságdíjigény 500 000 dollár volt, de a befizetett összeg alig volt 281 000 dollár alatt. Egy második esemény során a tárgyalások 50 000 dollárnál kezdődtek, de gyorsan sikerült megállapodást kötni 25 750 dollár váltságdíjért. Valószínűleg a harmadik eset a leglátványosabb: a számítógépes bűnözők kezdetben 300 000 dollárt követeltek, de csak 50 000 dollárral teljesítettek – a fizetés négy nappal a vita kezdete után történt.

Ugyanezt a jelenséget két másik esetben is megfigyelték. Az első 17 467 dollár váltságdíjat eredményezett az eredetileg kért 100 000 dollár helyett, majdnem egy hónapig tartó megbeszéléseket követően. A második esetben a maffiózók elégedettek voltak 15 300 dollárral, három hét tárgyalás után, kezdetben 90 000 dollárt követeltek.

Úgy tűnik, hogy ezek az összegek némileg alacsonyak az elmúlt hónapokban fizetett más nagy jelentőségű váltságdíjakhoz képest, de az áldozatok is hajlamosabbak ellenállni – a LeMagIT megfigyelt egy tárgyalást, amelyet 2,5 millió dolláros kérelem alapján indítottak, de az áldozat gyorsan befejezte megbeszélések.

REvil üzenet
A REvil üzenetei váltságdíj fizetésére ösztönzik az áldozatot

Amikor a REvil képviselője június elején rákérdezett egy orosz nyelvű fenyegetési hírszerző szakember tevékenységére, ennek ellenére azt állította, hogy a csoportnak jól megy, és elmondta, hogy a banda ransomware-as-a-service (RaaS) programjához való hozzáférés iránti igény nagy volt, nyolc jelölt pályázott egyetlen helyre.

A REvil személyzete nyilvánvalóan továbbra is befektet a RaaS platformjába, a titkosító eszköz Linux verziójával – először áprilisban jelentették be és május eleje óta kapható – most először figyelték meg a vadonban. Ez az eszköz úgy kezdi meg a munkáját, hogy leállítja az összes virtuális gépet (VM) az ESXi gazdagépen, amelyre telepítve van, mielőtt titkosítást folytatna, amint azt Vitali Kremez megfigyelte fejlett intelligencia.

De a bandának is lehetnek kapcsolatai más csoportokkal, esetleg többel is. Friss a SecureWorks csapat által végzett vizsgálatok megállapították, hogy a megjelenő LV ransomware nagymértékben a Sodinokibi kódon alapul – azonban nem foglalkoznak olyan kérdésekkel, amelyek két különféle szivárgási hely létezéséből adódhatnak az LV zsarolási műveleteihez, amelyek közül az egyik nemrégiben elérhetetlenné vált, esetleg átmenetileg.

Ezek az elemek sem vetnek fényt arra a rejtélyre, amely egy másik ransomware-kampány, Lorenz.sZ40 néven ismert (nyilvánvalóan a náci titkosítógépek egyikéről nevezték el) repedt a Bletchley Parknál világháború alatt). Bár a Intezer nem lát semmilyen kapcsolatot a bináris kódban a REvil / Sodinokibivel, a váltságdíj fizetésére szolgáló webes felület nem más, mint a REvil másolata, bár nincs élő chat modulja.