La banda de ransomware REvil reclama más de $ 100 millones en ganancias en un año

Los desarrolladores de REvil ransomware afirman haber ganado más de $ 100 millones en un año extorsionando a grandes empresas de todo el mundo de diversas industrias.

Están impulsados ​​por las ganancias y quieren ganar $ 2 mil millones de su servicio de ransomware, adoptando las tendencias más rentables en su búsqueda de riqueza.

Los afiliados hacen el trabajo pesado

Un representante de REvil que utiliza los alias "UNKN" y "Unknown" en foros de ciberdelincuentes habló con un blog de tecnología OSINT ruso ofreciendo algunos detalles sobre el negocio del grupo y sugerencias sobre lo que tienen reservado para el futuro.

Como casi todas las bandas de ransomware de hoy, REvil ejecuta una operación de ransomware-as-a-service (RaaS). Bajo este modelo, los desarrolladores entregan malware de cifrado de archivos a los afiliados, quienes ganan la mayor parte del dinero extorsionado a las víctimas.

Con REvil, los desarrolladores toman entre un 20% y un 30% y el resto del rescate pagado va a los afiliados, quienes llevan a cabo los ataques, roban datos y detonan ransomware en las redes corporativas.

"La mayor parte del trabajo lo realizan los distribuidores y el ransomware es solo una herramienta, por lo que creen que es una división justa", dijo el representante de REvil, Unknown, al OSINT ruso.

Esto significa que los desarrolladores establecen el monto del rescate, llevan a cabo las negociaciones y cobran el dinero que luego se comparte con los afiliados.

Larga lista de víctimas

El ciberdelincuente cifró las computadoras de grandes empresas, incluidas Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Artech Information Systems, Albany International Airport, Kenneth Cole y GEDIA Automotive Group.

Unknown afirma que los afiliados de REvil pudieron piratear las redes de Travelex y GSMLaw en solo tres minutos al explotar una vulnerabilidad en Pulse Secure VPN que no se actualizó durante meses después de que la solución estuvo disponible. [12].

El representante público de REvil dice que el sindicato ha llegado a la red de una "gran empresa de caza" y pronto anunciará el ataque.

También dicen que REvil fue responsable del ataque de septiembre al banco público chileno BancoEstado. El incidente llevó al banco a cerrar todas sus sucursales por un día, pero no afectó la banca en línea, las aplicaciones y los cajeros automáticos.

Junto con los proveedores de servicios administrados (MSP) que tienen acceso a redes de múltiples organizaciones, los objetivos más rentables para REvil son las empresas de los sectores de seguros, legal y agrícola.

Con respecto al inicio de sesión inicial, Desconocido mencionó los ataques de fuerza bruta y el protocolo de escritorio remoto (RDP) combinados con nuevas vulnerabilidades.

Un ejemplo son las vulnerabilidades rastreadas como CVE-2020-0609 es CVE-2020-0610 error y conocido como BlueGate. Permiten la ejecución remota de código en sistemas que ejecutan Windows Server (2012, 2012 R2, 2016 y 2019).

Nuevas formas de ganar dinero

REvil inicialmente se benefició de las víctimas que pagaron el rescate para desbloquear archivos cifrados. Dado que los atacantes también bloquearon los servidores de respaldo, las víctimas tenían pocas opciones de recuperación y el pago era la forma más rápida.

El negocio del ransomware cambió el año pasado cuando los operadores vieron la oportunidad de robar datos de redes pirateadas y comenzaron a amenazar a las víctimas con filtraciones que podrían haber tenido un impacto mucho peor en la empresa.

Incluso si lleva más tiempo y causa un revés significativo, las grandes empresas pueden restaurar archivos cifrados a partir de copias de seguridad fuera de línea. Sin embargo, tener datos confidenciales en el espacio público o vendidos a partes interesadas puede ser sinónimo de perder una ventaja competitiva y un daño a la reputación que es difícil de reconstruir.

Este método ha demostrado ser tan rentable que REvil ahora gana más dinero al no publicar los datos robados que al rescatar el descifrado.

Unknown dice que una de cada tres víctimas está dispuesta a pagar el rescate para evitar filtraciones de datos corporativos. Este podría ser el siguiente paso en el negocio del ransomware.

REvil también está considerando adoptar otra táctica diseñada para aumentar sus posibilidades de recibir un pago: golpear a la víctima con ataques de Denegación de Servicio Distribuido (DDoS) para obligarla a al menos (re) comenzar a negociar un pago.

El ransomware SunCrypt utilizó esta táctica recientemente en una empresa que había detenido las negociaciones. Los atacantes dejaron en claro que lanzaron el ataque DDoS y lo detuvieron cuando se reanudaron las negociaciones. REvil planea implementar esta idea.

El modelo de REvil de hacer dinero funciona y la pandilla ya tiene mucho en sus arcas. En su búsqueda de nuevos afiliados, depositaron $ 1 millón en bitcoins en un foro de habla rusa.

La medida fue diseñada para demostrar que su operación genera muchas ganancias. Según Unknown, este paso es reclutar sangre nueva para distribuir el malware, ya que la escena del ransomware está llena hasta los topes de ciberdelincuentes profesionales.

Aunque tienen mucho dinero en efectivo, los desarrolladores de REvil se limitan a las fronteras de la región de la Comunidad de Estados Independientes (CEI, países de la antigua Unión Soviética).

Una razón de esto es atacar a un gran número de víctimas de alto perfil que han provocado la investigación de las agencias de aplicación de la ley en todo el mundo. Como tal, viajar es un riesgo que los desarrolladores de REvil no están dispuestos a asumir.

REvil construido sobre código anterior

Este sindicato de ransomware también se conoce como Sodin o Sodinokibi, pero el nombre REvil está inspirado en la película Resident Evil y significa Ransomware Evil.

Su malware se detectó por primera vez en abril de 2019, y el grupo comenzó a buscar piratas informáticos experimentados (probadores de penetración de élite) poco después del cierre de las tiendas de ransomware GandCrab.

Unknown dice que el grupo no creó el malware de cifrado de archivos desde cero, sino que compró el código fuente y lo construyó para hacerlo más efectivo.

Utiliza criptografía de curva elíptica (ECC) que tiene un tamaño de clave más pequeño que el sistema de clave pública basado en RSA, sin comprometer la seguridad. Unknown dice que esta es una de las razones por las que los afiliados eligen REvil sobre otras operaciones de RaaS como Maze o LockBit.

Antes de cerrar su negocio, los desarrolladores de GandCrab afirmaron que habían ganado $ 150 millones, mientras que toda la operación recaudó más de $ 2 mil millones en pagos de rescate.

Claramente, las ambiciones de los desarrolladores de REvil son mayores.

BleepingComputer fue informado de que Unknown confirmó que la entrevista (en ruso) era real.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir