REvil est un opérateur de ransomware-as-a-service (RaaS) qui a extorqué de grandes sommes d'argent à des organisations du monde entier au cours de l'année écoulée. Son nom - contraction de Ransomware Evil - a été inspiré par la série de jeux vidéo - adaptés en films - Resident Evil. Selon des rapports récents de sociétés de sécurité, il s'agit de la menace de ransomware la plus répandue et le groupe derrière aux manettes redouble d'efforts d'extorsion en volant également des données business et en menaçant de les publier. REvil, également connu sous le nom de Sodinokibi, est apparu pour la première fois en avril 2019 et a pris de l'importance après qu'un autre gang spécialisé dans le RaaS, appelé GandCrab, a fermé son service. Au début de REvil, les chercheurs et les entreprises de sécurité l'ont identifié comme une souche de GandCrab, ou du moins ont établi de multiples liens entre les deux. Un membre présumé du groupe, utilisant le pseudo Unknown, a confirmé dans une récente interview que le ransomware n'était pas une nouvelle création et qu'il était construit sur une base de code plus ancienne que le groupe avait acquise.

Les développeurs derrière les opérations RaaS comptent sur d'autres cybercriminels comme étant des « affiliés » pour leur distribuer le ransomware. En fait, les développeurs de ransomwares gagnent entre 20% et 30% des revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d'entreprise et déployer le malware. Plus une opération RaaS est réussie, plus elle a de chances d'attirer des affiliés qualifiés et si un opérateur malveillant plie boutique, les affiliés passent rapidement à une autre. Cela s'est produit avec GandCrab dans le passé et plus récemment avec le groupe Maze, dont les membres ont annoncé leur retraite il y a quelques semaines et dont les affiliés ont rapidement adopté une nouvelle famille de ransomwares appelée Egregor, également connue sous le nom de Sekhmet.

Quel succès pour REvil ?

En septembre, l'équipe de réponse à incidents d'IBM Security X-Force a signalé qu'un problème de cybersécurité sur quatre pour laquelle elle était appelée à la rescousse pour de la remédiation cette année dans les réseaux des clients était une infection par ransomware. De plus, une infection par ransomware sur trois impliquait REvil / Sodinokibi. « La souche de ransomware que IBM Security X-Force a vue le plus fréquemment en 2020 est Sodinokibi, un modèle d'attaque de ransomware-as-a-service qui a capitalisé cette année sur les attaques mixtes de ransomware et d'extorsion », ont déclaré les chercheurs à l'époque.

« Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet alors qu'ils n'étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les mobilisations de lutte contre les ransomwares d'IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus habiles à accéder aux réseaux de victimes que d'autres souches de ransomwares. »

IBM Security X-Force a estimé que REvil a touché au moins 140 organisations depuis son apparition en avril 2019, vente en gros, fabrication et services professionnels étant les secteurs les plus fréquemment ciblés. Environ 60% des victimes du gang sont des organisations américaines, suivies du Royaume-Uni, de l'Australie et du Canada. La société estime également qu'un tiers des victimes de REvil ont payé la rançon et qu'une sur dix a vu ses informations sensibles vendues aux enchères sur le dark web. Un tiers des victimes du groupe se sont fait voler leurs données. Le gang REvil semble ajuster ses demandes de rançon en fonction des revenus annuels des organisations victimes, ce qui explique pourquoi ses demandes variaient considérablement entre 1 500 dollars et 42 millions, pouvant aller jusqu'à 9% des revenus annuels de la victime. IBM a également identifié un certain chevauchement entre REvil et un groupe cybercriminel connu sous le nom de FIN7, également connu sous le nom de Carbanak, bien que cela puisse être dû au fait qu'un affilié commune fait du business avec les deux.

Les chercheurs d'IBM estiment que les bénéfices de REvil au cours de l'année écoulée étaient d'au moins 81 millions de dollars. Une interview d'un blogueur russe avec le représentant présumé du groupe REvil, Unknown, semble le confirmer. Le cybercriminel affirme que le groupe a gagné plus de 100 millions de dollars grâce à ses attaques de ransomwares. Fin septembre, le groupe a déposé 1 million de dollars en bitcoins sur un forum de hackers dans le but de recruter des pirates plus qualifiés pour devenir ses affiliés, a rapporté BleepingComputer.

Vol de données, extorsion et promesses creuses

Plus tôt ce mois-ci, Coveware, une société spécialisée dans la réponse aux incidents liés aux ransomwares, a indiqué que REvil / Sodinokibi détenait la plus grande part de marché parmi les groupes de ransomwares au troisième trimestre 2020, étant responsable de 16% des infections. Le groupe était également en tête au cours du trimestre précédent. Près de la moitié de tous les cas de ransomwares étudiés par la société impliquaient également des menaces de divulgation de données exfiltrées, un nombre croissant de groupes adoptant cette technique.

« Coveware estime que nous avons atteint un point de basculement avec la tactique d'exfiltration de données », a déclaré la société de sécurité. « Bien que certaines entreprises aient choisi de payer les acteurs de la menace pour ne pas divulguer les données exfiltrées, l'éditeur a constaté l'effilochage des promesses des cybercriminels - si tel est le cas - pour supprimer les données ». En particulier, la firme a vu des incidents où des victimes qui avaient déjà payé ont été extorquées à nouveau par REvil quelques semaines plus tard avec des menaces de divulguer les mêmes données. D'autres groupes n'ont pas tenu leurs promesses en publiant les données des victimes qui ont choisi de payer ou en montrant de fausses preuves de suppression de données.

« Contrairement à la négociation d'une clé de décryptage, la négociation de la suppression des données volées n'a pas de fin déterminée », a déclaré la société. « Une fois qu'une victime reçoit une clé de déchiffrement, elle ne peut pas être emportée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir à la charge pour un deuxième paiement à tout moment. Si on manque encore de recul, les preuves que les méfaits se produisent de manière sélective sont déjà établies. Par conséquent, nous conseillons vivement à toutes les victimes d'exfiltration de données de prendre des mesures rigoureuses mais responsables. Celles-ci incluent obtenir les conseils d'avocats compétents en matière de protection de la vie privée, mener une enquête sur les données qui ont été collectées et effectuer les notifications nécessaires résultant de cette enquête et de l'avocat ». Anonyme, le représentant de REvil a déclaré au blogueur russe que le groupe envisageait également d'adopter d'autres techniques, telles que le lancement d'attaques par déni de service distribué (DDoS) pour forcer la main des organisations qui suspendent les négociations.

Comment REvil fonctionne

REvil est l'un des programmes de ransomwares déployés lors de campagnes menées par des opérateurs malveillants, similaires à Ryuk, WastedLocker et autres. Cela signifie qu'après l'effraction, les pirates utilisent une variété d'outils et de techniques pour cartographier le réseau, effectuer des mouvements latéraux, obtenir des privilèges d'administrateur de domaine et déployer le ransomware sur tous les ordinateurs afin de maximiser l'impact.

Puisque REvil est distribué par différents affiliés, les vecteurs d'accès initiaux diffèrent entre les e-mails de phishing avec des pièces jointes malveillantes aux informations d'identification RDP (Remote Desktop Protocol) compromises et l'exploitation des vulnérabilités dans divers services publics. Par exemple, l'année dernière, les pirates de REvil ont eu accès aux systèmes en exploitant une vulnérabilité connue d'Oracle Weblogic (CVE-2019-2725). Selon le rapport de Coveware, REvil est désormais distribué principalement via des sessions RDP compromises (65%), du phishing (16%) et des vulnérabilités logicielles (8%). Unknown a également confirmé dans son interview que de nombreux affiliés de REvil utilisent des attaques par force brute pour compromettre RDP.

REvil se distingue des autres programmes de ransomware par son utilisation de l'échange de clés Diffie-Hellman à courbe elliptique au lieu de RSA et Salsa20 au lieu d'AES pour crypter les fichiers. Ces algorithmes de chiffrement utilisent des clés plus courtes, sont très efficaces et incassables s'ils sont correctement mis en œuvre. Le ransomware tue certains processus sur les machines infectées, notamment les clients de messagerie, SQL et autres serveurs de base de données, les programmes Microsoft Office, les navigateurs et d'autres outils susceptibles de maintenir des fichiers importants verrouillés ou sauvegardés dans la RAM. Il supprime ensuite les shadows copies Windows et autres sauvegardes pour empêcher la récupération de fichiers.

Comment se défendre contre REvil

Les organisations devraient toujours sécuriser leur accès à distance avec des informations d'identification solides et une authentification double facteur et envisager de rendre ces services disponibles via VPN uniquement. Tous les serveurs, applications et appliances exposés publiquement doivent être tenus à jour et régulièrement analysés pour détecter les vulnérabilités, les erreurs de configuration et les comportements suspects. Les protections contre les attaques par force brute bloquant les tentatives de connexion excessives avec des informations d'identification incorrectes doivent également être activées lorsque cela est possible.

Dans les réseaux locaux, il est recommandé d'effectuer les actions suivantes:

- Bloquer les communications SMB et RPC inutiles entre les points d'extrémité qui peuvent être utilisés pour les
mouvements latéraux ;
- Surveiller les comptes à privilèges pour détecter tout comportement suspect ;
- Réduire la surface d'attaque sur les terminaux avec des règles de contrôle d'accès plus strictes sur les dossiers et les processus ;
- Sécuriser les réseaux partagés ;
- Former les employés à la détection des tentatives de phishing ;
- Mettre en place un processus de sauvegarde des données qui stocke les sauvegardes hors site et tester que la restauration à partir de sauvegardes peut être effectuée au moment opportun ;
- Etablir des plans de réponse aux incidents clairement définis afin que des mesures puissent être prises immédiatement si une attaque est détectée. Les parties prenantes impliquées dans ce processus doivent être clairement établies tout comme leurs responsabilités. Si le NIST a publié un projet de guide sur la détection et la réponse aux ransomwares, c'est également le cas en France pour l'ANSSI.

Le secteur de la santé particulièrement exposé

« Certaines industries, comme la santé, peuvent sembler être plus fortement ciblées que d'autres, en raison des données sensibles qu'elles détiennent et de leur relative intolérance aux temps d'arrêt », ont expliqué les chercheurs de Coveware. « Cependant, ce que nous avons observé au fil du temps, c'est que la présence de vulnérabilités bon marché à exploiter, qui se trouvent être courantes dans une industrie donnée, est ce qui fait apparaître une concentration de l'industrie ».

Les mêmes spécialistes estiment que les services professionnels tels que les cabinets juridiques ou comptables sont particulièrement vulnérables. Les 4,2 millions de sociétés de services professionnels américaines représentent environ 14% de toutes les entreprises du pays, mais représentent 25% des attaques. « Ces entreprises sont plus susceptibles de prendre la menace des ransomwares moins au sérieux », ont déclaré les chercheurs. « Ils laissent généralement des vulnérabilités comme RDP ouvertes à Internet et sont victimes beaucoup plus régulièrement que les entreprises d'autres secteurs. Il est essentiel que les petites entreprises de services professionnels reconnaissent qu’il n’existe pas d’être «trop petit» pour être ciblé. L'industrie de la cyber-extorsion ne fonctionne pas comme ça. Si vous présentez une vulnérabilité bon marché à Internet, vous serez attaqué. C'est juste une question de quand, pas si. »