REvil Group beansprucht eine Reihe von Ransomware-Angriffen

Cyber Security News

Die Bedrohungsgruppe, die hinter der Sodinokibi-Ransomware steckt, behauptet, kürzlich neun Organisationen kompromittiert zu haben.

Die Ransomware-Bedrohungsgruppe REvil befindet sich auf einem Cyberangriffstrip und behauptet, in den letzten zwei Wochen neun Organisationen in Afrika, Europa, Mexiko und den USA infiziert zu haben.

Zu den Organisationen gehören zwei Anwaltskanzleien, eine Versicherungsgesellschaft, ein Architekturbüro, ein Bauunternehmen und eine landwirtschaftliche Genossenschaft, die alle in den USA ansässig sind, sowie zwei große internationale Banken (eine in Mexiko und eine in Afrika) und ein europäischer Hersteller. In einem E-Mail-Interview mit Threatpost sagten die Forscher von eSentire, die eine Analyse der Behauptungen der Bedrohungsgruppe verfasst haben, dass sie die Namen der Opferfirmen nicht nennen würden.

“Diese neuen Ransomware-Vorfälle, die die … Bande behauptet, könnten durchaus plausibel sein”, sagte Rob McLeod, Senior Director der Threat Response Unit (TRU) bei eSentire. “Diese Angriffe folgen direkt auf eine umfangreiche und gut geplante Drive-by-Download-Kampagne, die Ende Dezember gestartet wurde. Der einzige Zweck dieser bösartigen Kampagne ist es, die Computersysteme von Geschäftsleuten mit der … Ransomware, dem Gootkit-Bankentrojaner oder dem Cobalt Strike-Intrusionstool zu infizieren.”

Die Bedrohungsgruppe ist auch als Sodinokibi-Ransomware-Gang bekannt und wird von eSentire “Sodin” genannt. Die Malware, die zum ersten Mal im Jahr 2019 auftauchte, hat sich seitdem ausgebreitet und eine Reihe von Opfern getroffen, darunter die New Yorker Promi-Anwaltskanzlei Grubman Shire Meiselas & Sacks, Travelex und Brown-Forman Corp. (der Hersteller hinter Jack Daniels).

Ransomware-Angriffe

Die Forscher sagten, dass die REvil-Cyberkriminellen Dokumente in Untergrundforen gepostet haben, die angeblich von den Systemen der Opfer stammen – darunter Dateiverzeichnisse von Firmencomputern, teilweise Kundenlisten, Kundenangebote und Kopien von Verträgen. Die Forscher sagten, dass sie auch etwas gepostet haben, was anscheinend mehrere offizielle IDs sind, die entweder einem Mitarbeiter oder einem Kunden der Opferfirmen gehören.

“Wir wissen nicht, wie hoch das geforderte Lösegeld ist oder ob es bereits gezahlt wurde”, sagte McLeod gegenüber Threatpost. “Wir haben jedoch gesehen, dass einige Opfer gepostet wurden, und dann wurden ihre Informationen und ihr Name von der Website entfernt. Wir fragen uns, ob dies auf eine Zahlung hindeutet.”

Authentische Opfer?

Obwohl die Forscher nicht 100-prozentig sicher sein können, dass die Behauptungen korrekt sind, “bei der Überprüfung einiger der Dokumente, die die Sodin-Bande behauptet, von ihren neuen Opfern zu stammen, scheinen viele von ihnen authentisch zu sein”, sagte McLeod.

Zum einen scheinen sich die Dokumente auf das Geschäft des jeweiligen Opfers zu beziehen, sagten sie. Die Dokumente enthalten auch datierte Zeitstempel, die zeigen, dass die Angriffe vor nicht allzu langer Zeit stattgefunden haben kann.

Für eines der Opfer – die Produktionsfirma – fanden die Forscher Nachrichtenberichte, dass der Hersteller von Ransomware getroffen worden war und die Produktion für ein oder zwei Tage einstellen musste. “Als Beweis, [REvil provided] Excel-Tabellen mit Jahresbudgets, angeblich von dem Hersteller”, so McLeod gegenüber Threatpost.

Es gibt einen Vorbehalt – ein paar Dokumente, die sich auf eine Bank in Afrika und eine Versicherungsfirma beziehen, haben ältere Datumsstempel aufgeführt. Dies veranlasste die Forscher zu der Frage, ob diese beiden Firmen tatsächlich Opfer der REvil-Bande waren – oder ob sich die Bedrohungsakteure stattdessen irgendwie Zugang zu einigen alten Dateien verschafft haben, die den Organisationen gehören.

Unabhängig davon “war die Sodin-Gang sehr erfolgreich bei der Kompromittierung großer Organisationen, wie wir gesehen haben, und sie haben die Ressourcen und die Techniken, um diese Ransomware-Angriffe durchzuführen, so dass es äußerst plausibel ist, dass diese echt sind”, sagte McLeod.

Das Böse auf dem Vormarsch

Die Forscher sagten, dass ein Puzzlestück für den jüngsten Erfolg von REvil bei Ransomware-Angriffen der Gootloader Malware-Loader sein könnte, der ihrer Meinung nach “dazu dient, die Ransomware zu platzieren.”

Dieser Loader wurde zuvor für die Verbreitung der REvil-Ransomware sowie der Gootkit-Malware-Familie verwendet und hat sich zu einem immer ausgefeilteren Loader-Framework entwickelt. Es hat nun auch die Anzahl der Nutzlasten, die es liefert, um den Kronos-Trojaner und die Cobalt Strike-Rohstoff-Malware erweitert.

“Wir wissen, dass diese Kampagne einigen Erfolg hatte, weil wir nicht nur Berichte von anderen Sicherheitsgruppen gesehen haben, sondern auch mehrere Vorfälle entdeckt haben, bei denen Geschäftsleute getäuscht wurden und Gootloader auf ihre Arbeitscomputer heruntergeladen haben”, so McLeod. “Glücklicherweise waren wir in der Lage, die Aktivität in der Mitte zu unterbrechen und zahlreiche damit verbundene Malware-Infektionen innerhalb der Mitarbeiterorganisationen zu verhindern, von denen zwei Anwaltskanzleien und eine eine professionelle Beratungsfirma waren.”

Die Forscher sagten, dass sie gesehen haben, dass REvil seine Erpressungstricks und -verfahren (TTPs) erweitert hat, um nun Geschäftspartner der Opfer und die Medien zu kontaktieren, um den maximalen Druck auf das Opfer auszuüben, damit es zahlt.

Sie stellten fest, dass die Bedrohungsgruppe in den letzten Tagen auch ihre Website zu aktualisieren scheint, um das Durchsuchen ihrer Opferliste zu erleichtern.

“Die Sodin-Gang ist mit sehr guten Angriffsmöglichkeiten ausgestattet, und wir glauben nicht, dass sie ihr ganzes Können gezeigt haben”, warnte McLeod. “Wenn sie einmal in ein System eingedrungen sind, sind sie sehr gut darin, dort zu bleiben und sich in der gesamten Umgebung des Opfers zu verbreiten.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com