Pe 2 iulie, s-a aflat că gruparea de ransomware REvil a comis un atac de proporții împotriva furnizorilor de servicii gestionate (Managed Service Providers – MSP) și a clienților acestora din întreaga lume. Acest lucru a făcut ca mii de companii să devină potențiale victime ale ransomware-ului. Cercetătorii Kaspersky au observat peste 5000 de încercări de infectare în Europa, America de Nord și de Sud.
REvil (aka Sodinokibi) este unul dintre cei mai prolifici operatori de ransomware-as-a-service (RaaS), a apărut pentru prima dată în 2019, iar atacurile sale au generat numeroase titluri în media în ultimele câteva luni, datorită țintelor pe care le-au atins și câștigurilor lor record în urma plăților obținute de la victime.
În acest ultim atac, REVil a infectat un furnizor IT Management Software pentru MSP, afectând mai multe companii din întreaga lume. Atacatorii au implementat o sarcină utilă rău intenționată prin intermediul scriptului PowerShell, care, la rândul său, a fost probabil executat prin intermediul software-ului furnizorului MSP.
Acest script a dezactivat caracteristicile de protecție Microsoft Defender for Endpoint și apoi a decodat un executabil rău intenționat, care includea un binar legitim Microsoft, o versiune mai veche a soluției Microsoft Defender și o componentă „malicious library” care conținea ransomware REvil. Folosind această combinație de componente în încărcare, atacatorii au reușit să exploateze tehnica DLL de încărcare laterală și să atace mai multe organizații.
Folosind serviciul său de informații despre amenințări, Kaspersky a remarcat peste 5000 de tentative de atac în 22 de țări, cele mai afectate fiind Italia (45,2% tentativele înregistrate), SUA (25,91%), Columbia (14,83%), Germania (3,21%) și Mexic (2,21%).
„Bandele de ransomware și afiliații lor continuă să-și dezvolte tehnicile prin atacuri asupra organizațiilor foarte importante, precum Colonial Pipeline și JBS, și asupra multor alte organizații din diferite țări, încă de când s-au lansat. De data aceasta, operatorii REvil au efectuat un atac masiv asupra MSP-urilor cu mii de companii deservite în întreaga lume, infectându-le și pe acestea”, „Acest caz demonstrează încă o dată cât de important este să implementăm măsuri și soluții adecvate de securitate cibernetică în toate nivelurile de activitate – inclusiv la nivel de furnizori și parteneri.”
spune Vladimir Kuskov, Head of Threat Exploration la Kaspersky.
Ransomware-ul REvil a fost promovat pe forumuri subterane de trei ani și este una dintre cele mai prolifice operațiuni RaaS. Potrivit unui interviu acordat operatorului REvil, banda de atacatori a câștigat peste 100 de milioane de dolari din operațiunile sale în 2020. Activitatea grupului a fost observată pentru prima dată în aprilie 2019 după închiderea GandCrab, o altă bandă de ransomware care a dispărut acum.