臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后又开始活跃了。REvil首次出现是在 2018 年,当时他们还是与一个名为“GandCrab”的组织合作。起初,他们主要专注于通过恶意广告和漏洞利用工具包传播勒索软件,这些恶意广告和恶意软件工具是黑客在访问恶意网站时通过采用下载式触发(drive-by-download)感染受害者的工具。该组织后来发展成为REvil,并不断壮大,以窃取海量数据集并勒索数百万美元赎金而闻名。
2022 年 4 月 20 日,REvil 曾经消失的泄密网站重新上线,并开始将访问者重定向到新的 洋葱网站地址,并公开新攻击的和以前的受害者。特别值得注意的是,新网站看起来也与最初由 REvil 组织开发的有点不同。例如,新网站包括一个 RSS 2.0 提要和一个用于积极招募会员的“加入我们”部分。
此外,以前的受害者的概念证明链接已脱机或被删除,这导致 Unit 42 认为网站是从备份中恢复的,并且没有更新帖子中的任何内容。在5月初,研究人员注意到新的所谓的受害者组织被列入名单,然后多次从网站上删除。通常情况下,当一个组织被从网站上删除时,是因为他们已经支付了赎金,但这里发生的情况似乎并非如此。相反,相同的潜在受害者被添加然后删除了几次。这些组织分别是印度的石油组织、美国的教育组织和法国的标识制造商。研究人员观察到该网站有时不稳定,在某些情况下甚至显示空白页,且没有列出受害者。
新的REvil泄露网站
恢复的泄密网站上的招募部分首先将受害者引导到 RuTOR,这是一个已知的讲俄语的论坛市场,通常销售非法商品,利用该平台的自动托管服务。
招募部分
研究人员发现 RuTOR 的使用很有趣,因为它并不是特别为勒索软件运营商所熟知,这与 RAMP、Exploit 或 XSS 等其他论坛不同。
4 月 22 日,研究人员在 RuTOR 上看到一篇题为“REvil 的 TOR 网站突然重新启动并再次运行”的帖子,值得注意的是,在这篇文章公开后不久,REvil 泄密网站背后的攻击者从泄露网站上删除了RuTOR的内容。从那时起,只利用 TOX Chat 进行通信。在RuTOR上使用的账号useransom被暂停了。
来自RuTOR管理员WD的帖子
4月29日,一名研究人员在VirusTotal中首先报道了REvil/Sodinokibi变种的出现。观察到的示例(SHA256:0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8)编译于4月26日,也就是研究人员在野外遇到示例的三天前。这被认为是 REvil 示例的新版本。与之前的 REvil 示例相比,此示例包含各种更新,包括添加指向新泄漏网站和支付网站的标识。
该示例还在其 JSON 配置中嵌入了一个名为 accs 的新字段。该领域的账户与两个不同的组织相关联——一个在中国台湾,一个在以色列。当时,在新的 REvil 泄漏网站上没有观察到这两个组织,这可能表明他们可能是被攻击的受害者。
实际上,“勒索软件”示例的行为仅仅与勒索软件相似,但实际上并没有加密文件这样的功能。所分析的示例只重命名具有随机扩展名的现有文件,删除扩展名会将文件恢复到其原始状态。
更改重命名文件的扩展名
勒索信与该组织原来使用的几乎相同:
新的 REvil 勒索信
他们的新支付网站似乎也与 REvil 过去使用的类似。
在4月29日的示例中,要求的赎金是150万美元。正如在以前的REvil示例中看到的那样,如果没有在规定的时间内支付赎金,赎金请求会增加一倍。
REvil 支付网站
现在说这个活动背后的攻击者是否真的是原有成员,还是新的 REvil组织,还为时过早。
由于执法部门的多次打击,该组织已多次被摧毁,并在此过程中失去了加盟机构的信任。
即使 REvil 明显回归,其他攻击者仍持怀疑态度。
无论谁是该组织重新出现的幕后黑手,我们都应该做好准备,以抵御任何出现的勒索软件。
勒索软件即服务
REvil 是最著名的勒索软件即服务 (RaaS) 提供商之一。该犯罪集团提供适应性强的加密器和解密器、用于协商通信的基础设施和服务,以及在受害者不支付赎金要求时发布被盗数据的泄漏网站。对于这些服务,REvil 会收取赎金价格的一定比例作为费用。 REvil 的关联公司经常使用两种方法来迫使受害者付款:对数据进行加密,这样组织就无法获取信息;使用关键的计算机系统或从备份中恢复数据;另外攻击者还窃取数据,并威胁将其发布在泄露网站上(这种策略被称为双重勒索)。
REvil 操作背后的攻击者通常会暂存和泄露数据,然后对环境进行加密,作为其双重勒索计划的一部分。如果受害者组织不付款,REvil 攻击者通常会发布泄露的信息。我们观察到作为 REvil 客户的攻击者专注于攻击大型组织,这使他们能够获得越来越大的赎金。在我们观察到的示例中,REvil 及其附属公司在 2021 年前六个月平均支付了约 225 万美元。具体赎金的大小取决于组织的规模和被盗数据的类型。此外,当受害者未能按时通过比特币付款时,攻击者通常会使需求翻倍。最终,如果受害者不付款或不进行谈判,他们就会在泄漏网站上发布被盗数据。
今年到目前为止,Unit 42 已经处理了十多个 REvil 勒索软件攻击事件。
REvil 攻击者如何获得访问权限
REvil 攻击者继续使用先前被泄露的凭据通过远程桌面协议 (RDP) 远程访问面向外部的资产。另一种常见的策略是网络钓鱼导致二次载荷。但是,研究人员还观察到一些与最近的 Microsoft Exchange Server CVE 相关的独特向量,以及涉及 SonicWall 攻击的示例。以下是 2021 年迄今为止观察到的5个独特的攻击向量。
用户下载一个恶意的电子邮件附件,当打开该附件时,会启动一个有效负载,下载并安装一个QakBot恶意软件变体。至少在一种情况下,研究人员观察到的QakBot版本收集了存储在本地系统上的电子邮件,将它们存档,并窃取到攻击者控制的服务器上。
在一个示例中,一个包含宏嵌入 Excel 文件的恶意 ZIP 文件附件会导致 Ursnif 感染,最初被用于破坏受害者网络。
一些攻击者利用受攻击的凭据通过 RDP 访问面向互联网的系统。目前尚不清楚攻击者是如何获得对凭据的访问权限。
攻击者利用分类为 CVE-2021-20016 的客户端 SonicWall 设备中的漏洞来获取访问环境所需的凭据。
攻击者利用 Exchange CVE-2021-27065 和 CVE-2021-26855 漏洞访问面向互联网的 Exchange 服务器,最终允许攻击者创建名为“admin”的本地管理员帐户,该帐户被添加到“远程桌面用户”组。
REvil 攻击者如何构建攻击环境
一旦获得访问权限,REvil 攻击者通常会利用 Cobalt Strike BEACON 在环境中建立自己的存在。在研究人员观察到的几个示例中,他们使用了远程连接软件 ScreenConnect 和 AnyDesk。在其他情况下,他们选择创建自己的本地和域帐户,并将其添加到“远程桌面用户”组中。此外,攻击者通常会禁用可能干扰或检测其在环境中的存在的反病毒、安全服务和进程。
以下是研究人员在 2021 年迄今为止观察到的具体技术:
1.一旦攻击者可以访问环境,他们就会使用不同的工具集来建立和维护他们的访问权限,包括使用 Cobalt Strike BEACON 以及创建本地和域帐户。在发现的一个示例中,REvil组织利用BITS作业连接到远程IP,下载并执行Cobalt Strike BEACON。
2.在几起事件中,Unit 42 发现 REvil 攻击者使用“全面部署软件”来部署 ScreenConnect 和 AnyDesk 软件以维持环境内的访问。
3.在许多情况下,REvil 攻击者通过 BEACON 和 NET 命令创建本地和域级别帐户,即使他们有权访问域级别的管理凭据。
4.Unit 42 观察到 REvil 攻击者使用 [1-3] 字母数字批处理和 PowerShell 脚本停止和禁用防病毒产品、与 Exchange、VEAAM、SQL 和 EDR 供应商相关的服务以及启用的终端服务器的所有活动中的常见规避技术连接。
REvil 攻击者如何扩展访问权限并收集情报
在大多数情况下,REvil 攻击者需要访问具有更广泛权限的其他帐户,以便在受害环境中进一步移动并执行其任务。他们经常使用 Mimikatz 访问本地主机上的缓存凭据。然而,Unit 42 也观察到 SysInternals 工具 procdump 作为转储 LSASS 进程的一种手段。 Unit 42 还发现该攻击者通常会访问文件名中名称为“password”的文件。在一个示例中,我们观察到有人试图访问KeePass Password Safe。
在攻击的侦察阶段,REvil 攻击者经常利用各种开源工具来收集受害者环境的信息,在某些情况下还会利用NETSTAT和IPCONFIG管理命令收集信息。
以下是对 REvil 在 2021 年表现出的功能:
1.在发现的一半以上示例中,研究人员观察到网络侦察工具 netscan、高级端口扫描器、TCP View 和 KPort 扫描器;
2.攻击者经常使用 Bloodhound 和 AdFind 来绘制网络并收集其他活动目录信息;
3.Unit 42 观察到 ProcessHacker 和 PCHunter 的使用,这似乎是为了深入了解环境中主机上运行的进程和服务。
REvil 攻击者如何在受感染的环境中横向移动
一般而言,REvil 攻击者利用 Cobalt Strike BEACON 和 RDP 以及先前已泄露的凭据在受感染的环境中横向移动。此外,Unit 42 观察到攻击者使用 ScreenConnect 和 AnyDesk 软件作为横向移动的方法。虽然研究人员看到其他勒索软件组织也采用了这些策略,但他们观察到 REvil 攻击者从 MEGASync 和 PixelDrain 等文件共享网站检索这些二进制文件。
REvil 攻击者如何完攻击目标
最后, REvil 攻击者进入了攻击的最后阶段,对网络进行加密,对数据进行分级和过滤,并破坏数据以防止恢复和阻碍分析。
勒索软件部署
REvil 攻击者通常使用合法的管理工具 PsExec 部署勒索软件加密器,其中包含在侦察阶段获得的受害网络的计算机名称或 IP 地址的文本文件列表。
在一个示例中,REvil 攻击者利用 BITS 作业从其基础设施中检索勒索软件。在另一个示例中,REvil 攻击者将他们的恶意软件托管在 MEGASync 上。
REvil 攻击者还使用域帐户单独登录主机并手动执行勒索软件。
在两个示例中,REvil 攻击者利用程序 dontsleep.exe 以在勒索软件部署期间保持主机运行。
REvil 攻击者通常会在最初的入侵后 7 天内对环境进行加密。但是,在某些情况下,攻击者最多等待 23 天。
外泄
攻击者经常使用 MEGASync 软件或导航到 MEGASync 网站以泄露存档数据。在一个示例中,攻击者使用 RCLONE 来窃取数据。
在这些攻击的加密阶段,REvil 攻击者利用批处理脚本和 wevtutil.exe 清除了 103 个不同的事件日志。此外,虽然这些天并不少见,REvil 攻击者删除了卷影副本,这显然是为了进一步阻止取证。
总结
虽然 REvil 组织可能针对大型组织,但所有组织都可能受到攻击。
本文翻译自:https://unit42.paloaltonetworks.com/revil-threat-actors/如若转载,请注明原文地址