Uno dei gruppi leader nel business degli attacchi con estorsione è il gruppo che sviluppa il Ransomware REvil, gruppo noto con i nomi Gold Southfield (GS), Pinchy Spider.
Questo gruppo si è rapidamente evoluto ed organizzato per attaccare le organizzazioni tramite diversi metodi, inclusa la crittografia dei sistemi (Ransomware), l’esfiltrazione dei dati aziendali (Double-Extortion) e affittando ai propri affiliati l’intera struttura (Ransomware-as-a-Service).

Ad oggi, il ransomware REvil, era disponibile per i propri affiliati esclusivamente per sistemi Microsoft Windows. Di recente è stato pubblicato su alcuni forum dell’underground la disponibilità della versione per sistemi Linux e NAS:

Una volta che GS si concentra su una potenziale vittima, l’attacco passa a un’operazione più sofisticata eseguita da parte di affiliati al programma Ransomware che si fanno strada attraverso le reti compromesse per trovare dati, esfiltrarli e avviare l’attacco ransomware su quanti più dispositivi possibili. 

THREAT ACTOR:
Gold Southfield


Secondo i dati di X-Force del 2020, si stima che il conteggio totale delle vittime sia di circa 250 organizzazioni. La stima più prudente colloca le entrate totali del riscatto di Sodinokibi a 123 milioni di dollari nel 2020.

Delle 19 organizzazioni di vittime stimate con un fatturato annuo totale di $ 1 miliardo o più, almeno 15 hanno probabilmente pagato un riscatto multimilionario a questo gruppo.

I gestori di REvil hanno cercato di reclutare altri affiliati. Un modo per attirare nuovi membri a collaborare con loro è ostentare la loro ricchezza, depositando 1 milione di dollari in un forum underground in lingua russa, per assicurare ai membri che ci si può fidare e che coloro che si uniscono verranno pagati.

I tipi di abilità richieste per accedere al programma di affiliazione:

Gruppi che hanno già esperienza e competenza nei test di penetrazione, che lavorano con MSF (alias MetaSploit Framework) / CS (alias Cobalt Strike) / Koadic (un framework di post-sfruttamento di Windows e strumento di test di penetrazione), NAS / Tape (archiviazione dei dati aziendali e archiviazione), Hyper-V e analoghi dei programmi software elencati …