Fortgale Blog » REvil Ransomware: disponibile la versione per cifrare Server Linux

Uno dei gruppi leader nel business degli attacchi con estorsione è il gruppo che sviluppa il Ransomware REvil, gruppo noto con i nomi Gold Southfield (GS), Pinchy Spider.
Questo gruppo si è rapidamente evoluto ed organizzato per attaccare le organizzazioni tramite diversi metodi, inclusa la crittografia dei sistemi (Ransomware), l’esfiltrazione dei dati aziendali (Double-Extortion) e affittando ai propri affiliati l’intera struttura (Ransomware-as-a-Service).

Ad oggi, il ransomware REvil, era disponibile per i propri affiliati esclusivamente per sistemi Microsoft Windows. Di recente è stato pubblicato su alcuni forum dell’underground la disponibilità della versione per sistemi Linux e NAS:

Una volta che GS si concentra su una potenziale vittima, l’attacco passa a un’operazione più sofisticata eseguita da parte di affiliati al programma Ransomware che si fanno strada attraverso le reti compromesse per trovare dati, esfiltrarli e avviare l’attacco ransomware su quanti più dispositivi possibili.

THREAT ACTOR:
Gold Southfield

Secondo i dati di X-Force del 2020, si stima che il conteggio totale delle vittime sia di circa 250 organizzazioni. La stima più prudente colloca le entrate totali del riscatto di Sodinokibi a 123 milioni di dollari nel 2020.

Delle 19 organizzazioni di vittime stimate con un fatturato annuo totale di $ 1 miliardo o più, almeno 15 hanno probabilmente pagato un riscatto multimilionario a questo gruppo.

I gestori di REvil hanno cercato di reclutare altri affiliati. Un modo per attirare nuovi membri a collaborare con loro è ostentare la loro ricchezza, depositando 1 milione di dollari in un forum underground in lingua russa, per assicurare ai membri che ci si può fidare e che coloro che si uniscono verranno pagati.

I tipi di abilità richieste per accedere al programma di affiliazione:

“Gruppi che hanno già esperienza e competenza nei test di penetrazione, che lavorano con MSF (alias MetaSploit Framework) / CS (alias Cobalt Strike) / Koadic (un framework di post-sfruttamento di Windows e strumento di test di penetrazione), NAS / Tape (archiviazione dei dati aziendali e archiviazione), Hyper-V e analoghi dei programmi software elencati … “

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

REvil Ransomware: disponibile la versione per cifrare Server Linux

THREAT ACTOR: Gold Southfield

Cookie & Privacy

THREAT ACTOR:
Gold Southfield