Ações recentes da família de Ransomware REvil

REvil (também conhecido como Sodinokibi) é um ransomware que apareceu pela primeira vez no início de 2019. Este ransomware fez seu nome como uma das famílias de malware notórias. Aqui está uma rápida olhada em seus feitos recentes.

REvil (também conhecido como Sodinokibi) é um ransomware que apareceu pela primeira vez no início de 2019. Este ransomware fez seu nome como uma das famílias de malware notórias. Aqui está uma rápida olhada em seus feitos recentes.

Principais alvos

Nos últimos meses, os operadores de ransomware REvil atacaram várias organizações em diferentes áreas geográficas.

  • Desde o início de 2020, as operadoras do REvil têm como alvo principalmente as organizações norte-americanas ( National Eating Disorders Association Agromart Group , etc.) e da Europa Ocidental ( Atlas Cars Plaza Collection etc.).
  • Um setor específico de seu interesse parece ser as organizações de manufatura e distribuição de alimentos e bebidas. Brown Forman Daniel’s ,  Lion , Harvest Food Distributors e Sherwood Food Distributors estão entre as vítimas recentes desta indústria. 
  • Eles também visaram vários outros setores , como TI, mídia, energia, varejo, imobiliário, jurídico, transporte, saúde, manufatura, entretenimento, organizações sem fins lucrativos e governo.

Modus operandi

  • Os operadores por trás deste ransomware seguem o modelo Ransomware-as-a-Service ( RaaS ) que permite que seus afiliados distribuam o ransomware REvil da maneira que quiserem, explorando uma vulnerabilidade ou portas RDP não seguras de força bruta.  
  • No início, observou-se que o ransomware visava organizações com vulnerabilidades de exploração. Mas, desde o ano passado, eles começaram a usar vetores de infecção comuns, como kits de phishing e exploit (RIG EK).

Associações e melhorias recentes

  • Os cibercriminosos por trás do ransomware REvil são os mesmos que criaram o GandCrab RaaS. Essa afirmação é baseada em observações relacionadas a semelhanças de idioma, países da lista de permissões e técnicas de ataque.
  • Em junho de 2020, o grupo começou algo novo, onde adicionou um recurso de leilão ao seu site clandestino para licitação anônima em dados roubados.

Principais conclusões

Ameaças como o REvil podem atingir as redes corporativas de qualquer organização e roubar seus dados internos, bem como detalhes confidenciais relacionados ao cliente. Além disso, o novo recurso de leilão em seu site fornece uma indicação clara de que seus operadores estão planejando continuar tendo como alvo mais vítimas. As organizações devem ser proativas na defesa contra esse ransomware, tendo um software antivírus confiável, aplicando patches em aplicativos, implementando backups de dados e seguindo a higiene básica de segurança.

Fonte: https://cyware.com/news/recent-deeds-of-revil-ransomware-family-a-quick-look-3849ddd0