REvil è un gruppo di criminalità organizzata transnazionale, con un nodo centrale che sviluppa il ransomware e affiliati che “noleggiano” o acquistano il programma. Questo modello è noto come “Ransomware as Service” (RaaS). È stato responsabile del 33% degli attacchi ransomware in tutto il mondo quest’anno. Agiscono per motivi puramente economici, stando lontani dalla politica. Si sono evoluti per aggirare le tecniche di difesa ed evasione (DET), utilizzando i privilegi di amministratore, eseguendo movimenti laterali, nascondendo il traffico dannoso e combinando strumenti standard con tecniche ad hoc. Tutto ciò rende difficile rilevare l’attacco. Quando le loro richieste non sono soddisfatte, possono causare gravi danni tecnologici, finanziari e di reputazioni alle loro vittime. REvil ha rubato dei dati ad importanti aziende come Apple, Acer e Garmin, tra altre grandi multinazionali, in cambio di riscatti multimilionari. Di recente ha eseguito tre attacchi su larga scala negli Stati Uniti che hanno alzato il livello di allerta delle autorità contro questo gruppo di cyber criminali; paragonabile in pericolosità ad un gruppo terroristico.

Il gruppo REvil, nome che deriva dall’unione di “Ransomware” e “Evil”, noto anche come gruppo Sodinkibi, Bluebackground o Sodin, è un’organizzazione criminale di hackers, attiva dal 2019. Ci sono solo speculazioni sulla sua posizione esatta, tuttavia, la sua impronta digitale porta in Russia e si stima che potrebbe avere almeno sessanta affiliati in tutto il mondo. Inoltre, non c’è certezza circa l’identità dei suoi membri.

REvil è un gruppo di criminalità organizzata transnazionale, che funziona come un cartello, con un nodo centrale che sviluppa il ransomware e affiliati che “noleggiano” o acquistano il programma e si occupano di infiltrarsi nelle aziende. Per ogni operazione di successo, REvil addebita una commissione del 30%. Questo modello è noto come “Ransomware as Service” (RaaS).

Secondo Camille Jackson, Cybersecurity Strategy Leader di IBM, REvil è responsabile del 33% degli attacchi ransomware in tutto il mondo quest’anno. [1]

Lo scorso 2020, REvil sarebbe riuscito a guadagnare circa 123 milioni di dollari

Lo scorso 2020, REvil sarebbe riuscito a guadagnare circa 123 milioni di dollari. Questa cifra sarà ampiamente superata nel 2021, poiché il gruppo si rivolge a società molto più grandi, chiedendo riscatti più costosi, come nel caso di Kaseya, il cui riscatto raggiungerebbe i 70 milioni di dollari.

Alcuni esperti di sicurezza informatica sospettano che REvil potrebbe essere un braccio di un gruppo di cyber criminali precedentemente noto come GandCrab, poiché è stato attivato per la prima volta subito dopo l’arresto di quest’ultimo. Inoltre, entrambi i ransomware condividono una quantità rilevante di codice sorgente, sebbene quello di REvil non sia open source. Hanno una metodologia di operazione simile, lo stesso modello di aggiornamento, nonché i vettori di propagazione quasi identici. [2]

Per infettare i sistemi, REvil utilizza diverse tecniche di offuscamento, principalmente basate sulla crittografia, per rendere difficile l’analisi e l’identificazione delle firme da parte dei programmi di sicurezza informatica, come antivirus o sistemi di rilevamento delle intrusioni (IDS), rendendolo estremamente pericoloso poiché passa inosservato ai controlli di questo tipo.[3]

 

Modus Operandi

 

Si contraddistinguono per il loro modo di operare. Attraverso attacchi silenziosi (stealth), sono in grado di annidarsi per mesi tra le pieghe delle vulnerabilità dai sistemi, di osservare ed analizzare un’enorme quantità di dati fino ad ottenere quelli più sensibili.

Una volta individuate le informazioni d’interesse, REvil attacca criptando contemporaneamente tutti i server operativi e di backup, con lo scopo di dimostrare la propria presenza alla vittima e chiedere un riscatto pur di non divulgare le informazioni alle autorità o mettere all’asta i dati sul darkweb, rovinando così la reputazione dell’azienda.

REvil ataca encriptado al mismo tiempo todos los servidores operacionales y de backup

Attacco Ramsonware

Agiscono per motivi puramente economici, stando lontani dalla politica. Possono reclutare “agenti” per impiantare il loro ransomware in cambio di una parte del denaro del riscatto. Sono selettivi, adattabili e furtivi, utilizzando approcci che sono già stati testati e perfezionati.

REvil anche commercializza il suo codice dannoso sul darkweb, in particolare il malware Sodinkibi che può essere ottenuto attraverso vari canali ed è stato utilizzato da numerosi attaccanti ransomware contro aziende asiatiche. Tuttavia, in molti casi, quegli hacker con il malware “noleggiato” da REvil, non hanno mantenuto la loro promessa di restituzione dei sistemi della vittima dopo il pagamento del riscatto, in quanto probabilmente non avevano nemmeno le chiavi di ripristino di REvil.

Poiché le aziende hanno migliorato la sicurezza informatica e l’architettura di rete, i gruppi criminali si sono evoluti per aggirare le tecniche di difesa ed evasione (DET), utilizzando i privilegi di amministratore, eseguendo movimenti laterali, nascondendo il traffico dannoso e combinando strumenti standard con tecniche ad hoc. Tutto ciò rende difficile rilevare l’attacco.[4]

Quando le loro richieste non sono soddisfatte, possono causare gravi danni tecnologici, finanziari e di reputazioni alle loro vittime.

Quando le loro richieste non sono soddisfatte, possono causare gravi danni tecnologici, finanziari e di reputazioni alle loro vittime, com’è successo con l’ente pubblico che gestisce la rete ferroviaria spagnola, ADIF (Administrador de Infraestructuras Ferroviarias), nel luglio 2020 quando subisse un attacco ransomware di REvil.

Sebbene inizialmente ADIF abbia sottovalutato quanto accaduto, assicurando che i suoi servizi IT avessero fermato l’attacco e che la sua infrastruttura non fosse mai stata colpita, il data breach ha avuto enormi conseguenze reputazionali, quando REvil rivelò informazioni riservate dell’azienda.

In una prima fase, REvil  filtrò circa 8 GB di informazioni nel suo Happy Blog, che includeva più di 1.000 file e cartelle, messaggi di posta elettronica tra dipendenti dell’ADIF, indirizzi di contatto, database e informazioni finanziarie. Il volume dei dati pubblicati rappresentava circa l’1% dei dati in loro possesso, affermavano. «Se non soddisfi le nostre condizioni, le tue informazioni saranno pubblicate. Continueremo a scaricare i tuoi dati finché non ci contatterai», hanno scritto gli hacker in un messaggio nella dark.[5]

Una prima filtrazione di questo tipo, ha lo scopo di dimostrare il tipo d’informazioni in loro possesso, per estorcere alla vittima. In caso di mancato pagamento nei termini richiesti, il resto delle informazioni è venduta tramite asta sul darkweb, dove altri criminali informatici possono avvantaggiarla per altri reati.

Un recente studio pubblicato da Trend Micro sugli attori del ‘moderno ransomware’ spiega che fanno movimenti laterali come Advanced Persistent Threat Actors, APT, per cercare di trovare sistemi importanti sulla rete della vittima, con maggiore probabilità di contenere dati sensibili da rubare e crittografare, implementando una “doppia estorsione”, con la quale minacciano di filtrare i dati sensibili che sono stati rubati prima di distribuire il ransomware nelle loro reti compromesse.

Tra marzo 2020 e gennaio 2021, lo studio ha identificato 16 gruppi di criminali informatici con questo modus operandi. Tra questi, i gruppi Conti, Doppelpaymer, Egregor e REvil spuntano per il maggior numero di vittime esposte, mentre il gruppo Cl0p ha avuto la maggior quantità di dati rubati ‘online’, con 5TB e il gruppo Nefilim si è rivelato il più redditizio, focalizzato nell’attaccare organizzazioni con ricavi annuali superiori al miliardo di dollari di fatturato, essendo l’organizzazione cyber criminale che ha ottenuto il reddito medio più alto con il ‘ransomware moderno’.[6]

Mapa de ataques de REVil

Mapa degli attachi di REvil

C’è un video su YouTube[7] che è stato tradotto dal russo e analizzato su diverse piattaforme di intelligence, in cui un presunto hacker appartenente al gruppo REvil racconta “come guadagnare $ 100.000.000 come encryptor ” utilizzando il malware REvil.

Possono anche eseguire mullitici accesi o attacchi DDoS contro l’infrastruttura della vittima e qualsiasi altro tipo di attacco che possa essere altamente redditizio

Nel quasi “tutorial”, l’hacker afferma che oltre agli attacchi ransomware (crittografando i dati delle vittime e rubandoli per estorcere denaro), possono anche eseguire mullitici accesi o attacchi DDoS contro l’infrastruttura della vittima e qualsiasi altro tipo di attacco che possa essere altamente redditizio, se indirizzato a obiettivi specifici.

Il presunto hacker di REvil afferma di comprendere la minaccia di arresto ed è per questo che loro non viaggiando all’estero. Continua letteralmente dicendo che l’unico modo di fermarlo sarebbe sparargli. [8] Si presume che REvil operi dalla Russia, sebbene potrebbero utilizzare i sistemi VPN per deviare l’impronta digitale verso altre giurisdizioni.

Curiosamente, il gruppo non attacca le organizzazioni russe, né quelle dei paesi dell’ex blocco sovietico, e alleati al governo Putin. Non si sa con certezza se REvil abbia la protezione delle autorità russe, ma neanche prove del contrario, poiché il governo non fa nessun sforzo per fermarli.

REvil ha rubato dei dati ad importanti aziende come Apple, Acer e Garmin, tra altre grandi multinazionali, in cambio di riscatti multimilionari. Di recente ha eseguito tre attacchi su larga scala negli Stati Uniti che hanno alzato il livello di allerta delle autorità contro questo gruppo di cyber criminali; paragonabile in pericolosità a un gruppo terroristico.

A maggio, un attacco ransonware contro la Colonial Pipeline, la più grande compagnia di oleodotti degli USA, colpì diciassette stati, lasciando quasi cinquanta milioni di persone senza carburante, circa il 45% degli abitanti della costa orientale degli Stati Uniti. L’estorsione informatica o il “riscatto” raggiuse i 4,4 milioni di dollari (in Bitcoin).

Dopo il ripristino dei sistemi, quasi metà della somma consegnata agli hacker è stata rintracciata e recuperata dalle autorità americane.

A giugno, la filiale americana di JBS, azienda brasiliana diventata la più grande fornitrice di carne al mondo, è stata vittima del ransomware, costretta a pagare 11 milioni di dollari di riscatto (in Bitcoin), per la restituzione dei loro sistemi.

Finora, questo è il più grande attacco informatico di ransomware al mondo e si calcola che abbia colpito più di 40.000 computer in tutto il globo.

Nel mese di luglio, la società Kaseya, specializzata in sistemi informatici con sede a Miami e fornitrice di software a clienti in tutto il mondo, è stata vittima di un ransomware che ha colpito direttamente 40 dei suoi clienti ed indirettamente altri 1000 clienti dei suoi clienti, in 17 paesi; tra cui la catena di supermercati Swedish Coop, con più di 800 punti vendita nella Svezia. La somma richiesta dagli hacker ammonta i 70 milioni di dollari (in Bitcoin). Finora, questo è il più grande attacco informatico di ransomware al mondo e si calcola che abbia colpito più di 40.000 computer in tutto il globo.

L’attacco alla Kaseya è stato compiuto sfruttando una vulnerabilità sconosciuta, ovvero uno “zero day”, così chiamato perché una volta scoperta la vulnerabilità, il produttore del software ha zero giorni per risolverla.

El ataque a Kaseya, se llevó a cabo aprovechando una vulnerabilidad desconocida, o un “zero day”

Happy Blog

Il presidente Joe Biden ha definito gli attentati come una “estorsione cibernetica” che mette a serio rischio la sicurezza nazionale, e ha cercato di attivare un piano di cooperazione con la Russia per contrastare questi crimini. Tuttavia, finora non c’è un’autentica cooperazione col collega Putin.

Recentemente quest’anno, da metà luglio, tutti i canali Web e Darkweb utilizzati da REVil per comunicare sono inattivi. Secondo gli esperti come Lawrence Abrams, capo di Bleeping Computer, i siti di REvil sono shut down”, compresi i siti a pagamento e il sito di divulgazione dei dati. «Gli errori che mostrano le loro pagine mostrano chiaramente che i siti sono stati disabilitati o eliminati, non si sa se dalle autorità o se REvil stesso abbia effettuato tale cancellazione».[9]

 

Se hai bisogno di un hacker, trova un russo.

 

Negli ultimi anni, in Russia sono proliferate le università specializzate in informatica, molte anche di altissima qualità. A differenza dell’India (dove allo stesso modo abbondano i professionisti informatici), i russi si sono specializzati principalmente nello sviluppo di software, intelligenza artificiale ed altri sistemi, piuttosto che nello sviluppo dei dispositivi e computer -hardware, come gli informatici asiatici.

Abbondanza di ottimi professionisti, insieme ad altri fattori chiave.

Quest’abbondanza di ottimi professionisti, insieme ad altri fattori chiave, come da un lato: bassa occupazione, salari precari, cattive condizioni di lavoro nelle aziende locali e pochi incentivi per le imprese e startup russe; e dall’altro lato, l’elevata impunità della cyber criminalità, la limitata capacità (o interesse) delle autorità nel perseguire e punire i reati informatici,

insieme al fatto che la Russia non è stata esattamente il paese più collaborativo con l’Occidente in termini di scambio delle informazioni di intelligence di polizia e della cooperazione giudiziaria internazionale; Tutto ciò rende questa nazione la culla perfetta per dei hacker criminali con capacità globale, sebbene non sia l’unico paese che si contraddistingue per questo.

 

Lazaro: Il gruppo hacker di Pyongyan.

 

Anche la Corea del Nord dispone di un alto numero di hacker che operano a livello internazionale. Alcune fonti sottolineano che si muovono sotto le istruzioni del governo dittatoriale del paese e che le attività criminali che svolgono servono a finanziare il regime.

Nel febbraio 2021, gli hacker nordcoreani hanno tentato di violare i sistemi di sicurezza dell’azienda farmaceutica Pfizer, con l’intenzione di rubare informazioni sul vaccino e sul trattamento COVID-19. L’attacco è stato fermato grazie all’aiuto del National Intelligence Service di Seoul, Corea del Sud.

Questo è già successo in passato, poiché sia ​​Pfizer come il suo partner tedesco BioNTech hanno dichiarato nel dicembre 2020 che i documenti relativi al loro vaccino sono stati “accesi illegalmente” durante un attacco informatico ad un server dell’Agenzia europea per i medicinali, EMA.[10]

Mapa de ataques del grupo Lázaro

Mapa degli Attachi del Gruppo Lazaro

Un famoso caso che prova la capacità strategica ed operativa di questi “Hackers di Stato” del governo di Pyongyang, conosciuti nell’industria della cybersecurity come “Gruppo Lazaro”, è stato l’accesso ai conti della Banca Centrale del Bangladesh nel 2016.

Hanno scelto un giovedì sera per svuotare i conti, trasferendo quasi un miliardo di dollari dalla Banca del Bangladesh al Federal Reserve System, FED, Banca Centrale degli Stati Uniti e da lì a migliaia di altri conti bancari con nomi falsi, ad enti di beneficenza, diversi casinò e una vasta rete di complici.

I bonifici sono stati eseguiti giovedì sera, momento strategico, poiché mentre a New York era già venerdì mattina e la FED era pienamente operativa per seguire le istruzioni e trasferire il denaro; La Banca del Bangladesh non funziona il venerdì e riprenderebbe le sue attività lunedì. Quando sono iniziate le indagini, i criminali avevano già guadagnato un vantaggio di tre giorni per spostare i soldi.

 

Il Whistleblowing per la prevenzione dei reati informatici.

 

La fabbrica di batterie – Gigafactory di Tesla in Nevada, è riuscita a impedire un attacco informatico nell’agosto 2020, grazie alla fedeltà aziendale di un dipendente, che agendo come Whistleblower, segnalò all’azienda (che poi ha coinvolto il FBI per l’indagine), il piano dell’hacker Egor Igorevich Kryuchkov, cittadino russo di 27 anni. [11]

La notizia è stata confermata dallo stesso Elon Musk, indicato che si trattava di un “grave attacco”, dopo che il Dipartimento di Giustizia americano riportasse l’operazione senza specificare l’azienda.

Dopo essere arrivato negli Stati Uniti a luglio con un ingresso da turista, Kryuchkov si è messo in contatto con un impiegato di lingua russa della Gigafactory, per proporle di installare un malware sui sistemi dell’azienda con l’obiettivo di filtrare e crittografare i dati sensibili, per poi chiedere un milionario riscatto. In cambio, il dipendente avrebbe ricevuto un milione di dollari.

Il gruppo cui apparteneva spesi circa 250.000 dollari nel ramsonware che attaccherebbe la rete della Tesla.

Il pirata informatico Kryuchkov ha affermato che il gruppo cui apparteneva spesi circa 250.000 dollari nel ramsonware che attaccherebbe la rete della Tesla, portando i dati su un server remoto per poi chiedere soldi in cambio della cancellazione. L’operazione è andata in pezzi dopo che il dipendente ha allertato i fatti.

Come consuetudine negli Stati Uniti per i casi d’informazione importante ottenuta grazie a fonti interne che fungono da Whistleblower, “soffiatori” o informatori; Elon Musk ha premiato il atto etico di questo dipendente con una significativa ricompensa monetaria.

 

Come sapere se l’attacco proviene da REvil?

 

Così come i terroristi si assumono la responsabilità degli attentati di cui sono protagonisti, lo stesso fa quest’organizzazione criminale, attivando i propri canali di comunicazione sul darkweb per annunciare quando una vittima è sotto attacco.

Potrebbe interessarti: Criminologia Economica e Dinamiche di Rete

Ad esempio, REvil utilizza un sito nella dark noto come “Happy Blog” per esporre le vittime dei suoi attacchi, pubblicando parte dei documenti ottenuti nell’infiltrazione dai loro sistemi e reclamando lì, succose ricompense in cambio di evitare che altra informazione aziendale, dei suoi clienti o dei terzi sia rivelata.

Ulteriormente, analizzando i sistemi compromessi per la violazione della sicurezza, è possibile riconoscere la struttura del codice malware utilizzato da REvil, che solitamente appartiene alla stessa famiglia.

 

Cosa fare se la tua azienda è stata vittima di un attacco REvil?

Ciberseguridad

Cybersecurity

Bisogna essere preparati attraverso un adeguato Piano di Contingenza di fronte ai possibili eventi contro la cyber sicurezza aziendale, insieme al business continuity plan & Disaster Recovery.

Alcune raccomendazioni:

  1. Informare tempestivamente le autorità. Le aziende sotto la giurisdizione del regolamento europeo, GDPR, sono tenute a notificare all’autorità garante in materia di Privacy – protezione dei dati, entro 72 ore dal momento in cui ne è venuto a conoscenza della violazione alla sicurezza.
  2. Valutare il tipo di dati filtrati e la gravità delle possibili conseguenze per gli Interessati, soprattutto quando si tratta di dati personali particolari.
  3. A secondo la valutazione dell’evento, il GDPR prevede segnalare il data breach a tutti gli interessati.
  4. Valutare la portata del danno e la possibilità di ripristinare i sistemi, determinando la fattibilità, il tempo e le risorse necessarie per riprendere il normale funzionamento senza parteggiare alle richieste degli hacker

Il piano di contingenza deve essere esaustivo e dettagliato, registrando ogni passaggio in anticipo, per evitare il rischio d’improvvisazioni. È comunque importante identificare gli attori responsabili. Il piano deve specificare cosa fa ogni persona, come e quando dovrebbe farlo, secondo i principi di accountability.

Alcune raccomandazioni tecnologiche:

  • Disabilitare RDP se non utilizzato. Se necessario, cambiare la porta RDP in una non standard.
  • Configurare il firewall negando l’accesso agli indirizzi IP pubblici e alle porte importanti (in questo caso, la RDP 3389 e limitando l’accesso solo agli IP che sono sotto il proprio controllo).
  • Utilizzare VPN per accedere alla rete, invece di esporre RDP a Internet.
  • Implementare l’autenticazione a due fattori (2FA), aggiornando le credenziali.
  • Stabilire un nuovo criterio di blocco che renda difficile indovinare le credenziali.
  • Creare una cartella di rete separata per ogni utente, gestendo l’accesso alle cartelle di rete condivise.

Il “dispositivo” di sicurezza più importante non è uno strumento elettronico; ma le persone.

Essere preparati per contrastare i cyber criminali significa includere la probabilità di un attacco all’interno della valutazione dei rischi e gap dell’organizzazione (Information Security Risk Management e Gap Analysis), nonché le contro misure da adottare; ricordando che il “dispositivo” di sicurezza più importante non è uno strumento elettronico; ma le persone.

L’adeguata formazione, l’addestramento, l’istruzione continua e la motivazione per creare il senso di appartenenza all’organizzazione saranno sempre fondamentali.

[1] https://dfmas.df.cl/df-mas/glocal/los-nuevos-pasos-de-los-hackers-que-atacaron-a-bancoestado

[2] https://www.iproup.com/innovacion/24210-revil-quienes-estan-detras-de-la-peligrosa-agrupacion

[3] https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento

[4] https://tekapp.it/cosa-e-successo-nel-2020/

[5] https://www.businessinsider.es/adif-victima-ciberataque-han-robado-800gb-datos-682565

[6] https://www.europapress.es/portaltic/ciberseguridad/noticia-asi-trabaja-nefilim-ransomware-ataca-ricos-20210622090036.html

[7] https://www.youtube.com/watch?v=ZyQCQ1VZp8s&t=43s

[8] https://derechodelared.com/malware-revil/

[9] https://www.elespanol.com/omicrono/tecnologia/20210714/misteriosa-desaparacicion-revil-hackers-buscados-internet/596440730_0.html

[10] https://www.dw.com/es/hackers-norcoreanos-intentaron-robar-datos-de-vacuna-de-pfizer-denuncia-corea-del-sur/a-56590829

[11] https://www.bbc.com/news/world-us-canada-56469475#:~:text=A%20Russian%20man%20in%20the,company’s%20battery%20plant%20in%20Nevada.

Pin It on Pinterest