O grupo cibercriminoso de alegada origem russa, REvil, é um dos mais ativos em ataques ransomware, paralisando recentemente sistemas da Kaseya a nível mundial, sob um resgate de 70 milhões de dólares em criptomoedas. Agora, e depois de vários ataques bem sucedidos contra sistemas Windows, os atacantes de ransomware espalharam uma nova variante que afeta os sistemas Linux. Investigadores da AT&T Labs descobriram 4 variantes do REvil Linux, e acreditam que o grupo está a expandir o seu portfólio e a almejar dispositivos ESXi e NAS.
O ransomware do REvil, também conhecido como Sodinokibi, opera como Ransomware-as-a-Service e já aplica táticas de dupla e tripla extorsão. É um dos mais bem sucedidos da variante na história da cibersegurança, comprometendo dezenas de milhares de vítimas globalmente. O modelo de ataque do grupo funciona com base num conjunto de pessoas que mantêm o código de origem e outros grupos de hackers afiliados, distribuem o ransomware.
Os atacantes desenvolveram a versão ransomware para o Linux para competir com a versão mais recente do Linux do DarkSide. Até à data e segundo publicações do grupo na sua plataforma na dark web, mais de um milhão de sistemas já foram infetados com este tipo de ransomware. O grupo de cibercrimosos não tem alvos específicos, atacando organizações de vários setores, seja financeiro, energia, consultoria, saúde, entre outros, em vários países.
No relatório publicado num dos conhecidos blogs do REvil, o grupo afirmou ter implantado o seu ransomware do Windows para a estrutura do Linux. A primeira amostra da variante foi observada pela primeira vez em maio de 2021, em ficheiros executáveis ELF64, e infetou os sistemas *nix e ESXi, de forma semelhante aos executáveis do Windows REvil. Segundo a AT&T, “quando a execução começa, o malware verifica primeiro se a sua configuração existe. O formato do ficheiro de configuração é muito semelhante ao observado para amostras REvil Windows, mas com menos campos. Alguns dos campos são apresentados em ambas as versões".
Durante o ataque, o REvil executa a ferramenta de linha de comandos esxcli para descobrir quantos VM correm no sistema e os interromper de seguida para evitar que corrompam os ficheiros durante a encriptação. Nesse processo, o ransomware gera a chave XOR de 64 bytes, baseada na chave PK do ficheiro de configuração e a mesma chave é utilizada no processo de encriptação. Assim que o processo termina, é escrita uma chave final em cada ficheiro afetado, juntamente com as notas de resgate em cada pasta.
in https://www.itsecurity.pt/