Investigadores descubren parte de la infraestructura de #REVil

La unidad de I+D de Resecurity identificó una fuerte conexión del grupoREvil/Sodinokibi con una empresa de alojamiento en la nube e IoT que presta servicios al dominio que pertenece a los ciberdelincuentes.

Según la investigación reciente publicada por ReSecurity en Twitter, a partir de enero de 2021 REVil aprovechó un nuevo dominio decoder[.]re (82.146.34[.]4)además de una página de ransomware disponible en la red TOR. El nuevo dominio se incluye dentro de las notas de rescate en las versiones reciente de REVil.

Por lo general, la colaboración entre la víctima y REVil se organizaba a través de una página en TOR, pero en el caso de que su víctima no pueda acceder a Onion Network, el grupo preparó dominios disponibles en la web abierta (sitio WWW), los cuales actúan como un "mirror".

Para acceder a la página en WWW o TOR, la víctima debe proporcionar un UID válido (por ejemplo, "9343467A488841AC"). Los investigadores adquirieron una cantidad significativa de UID y claves privadas como resultado de las muestras de ransomware recientes y mediante la colaboración con víctimas a nivel mundial.

Al igual que los dominios decryptor[.]cc y decryptor[.]top en versiones anteriores de REvil / Sodinokibi, el dominio decoder[.]re se utiliza para otorgar a las víctimas acceso al sitio WEB de los actores de amenazas para negociaciones posteriores. La aplicación alojada en él contiene una funcionalidad de "chat" que permite comunicaciones en tiempo real entre la víctima y REVil. Este sitio web también puede analizarse para determinar los DNS y servidores involucrados.

Los actores de la amenaza también usaron una dirección de correo electrónico temporal desechable creada a través de https://guerrillamail[.]com. Dichos correos electrónicos solo se pueden usar un número limitado de veces, por ejemplo, todas las comunicaciones con ellos se eliminarán automáticamente en 1 hora.

Resecurity pudo recopilar los registros DNS históricos y disponibles, luego crear un gráfico visual que representa la infraestructura de red actual utilizada por REVil y compartirlo con la comunidad de ciberseguridad.

Según los expertos, este paso puede facilitar la acción legal adecuada contra el ransomware, así como también señalar a las partes responsables de dicha actividad maliciosa, ya que los detalles descubiertos plantean preguntas importantes sobre la reacción de los proveedores de alojamiento y la aplicación de la ley.

Según la inteligencia de red y DNS recopilada por expertos, las IP asociadas a ella se rotaron al menos 3 veces en el primer trimestre de 2021 y estaban relacionadas con un proveedor de soluciones de IoT y alojamiento en la nube en particular ubicado en Europa del Este, que continúa brindándoles servicio.

"Es difícil creer que tal actividad maliciosa haya pasado desapercibida para ciertos gobiernos y haya causado daños a miles de empresas en todo el mundo", dijo Gene Yoo, director ejecutivo de Resecurity.

El presidente Joe Biden ordenó a las agencias de inteligencia estadounidenses que investiguen el sofisticado ataque de ransomware contra Kaseya presuntamente realizado por REVil, un notorio sindicato de ciberdelincuentes que se cree tiene vínculos con actores de habla rusa que antes perseguían objetivos de alto perfil como Apple y Acer.

También se cree que el grupo está detrás del exitoso ataque del mes pasado contra la empresa procesadora de carne más grande del mundo, JBS, que extorsionó U$S11 millones en rescate. REvil asumió la responsabilidad oficial del ataque y lanzó un anuncio en su blog que está disponible en la red TOR solicitando el pago de U$S 70 millones de Kaseya, la mayor demanda de pago de rescate conocida en la industria hoy en día.

El ataque ya ha afectado a más de 1.000 empresas en todo el mundo que han interrumpido sus operaciones. Una presunta víctima de la violación, el minorista Coop, con sede en Suecia, cerró al menos 800 tiendas durante el fin de semana después de que sus sistemas se desconectaran.

Actualización: Excelente análisis del ransomware por @cPeterr

Fuente: SecurityAffairs

Suscríbete a nuestro Boletín