Die Betreiber der REvil-Ransomware, ebenfalls bekannt als Sodinokibi, planen ihre Liste der Erpressungstaktiken zu erweitern. Diese sollen zusätzlich dazu Druck auf die Opfer ausüben die sich möglicherweise weigern, ihr Lösegeld zu zahlen um ihre Daten wiederherzustellen. Gegen diese Opfer soll nun die Erpressung öffentlich gemacht werden. Journalisten und Geschäftspartner werden ähnlich wie informiert um die Zahlungsaufforderungen zusätzlich zu verstärken. Bleeping Computer berichtet, dass die Erpresser sogar DDoS-Angriffe gegen die IT-Infrastruktur der Unternehmen starten um die Wiederherstellung der Systeme zu verzögern.
REvil-Ransomware: Entstehung und Verbindung mit anderen Angriffen
Die REvil-Ransomware trat erstmals im April 2019 auf und nutzte eine Sicherheitslücke in den Oracle WebLogic-Servern aus, ebenso wie Untersuchungen von McAfee zeigen. Seitdem ist der Ransomware-Stamm mit Angriffen auf weiterhin als 23 texanische Gemeinden, 400 US-Zahnarztpraxen, den Managed Service Provider CyrusOne und auch den IT-Dienstleister für Zahnarztpraxen Complete Technology Solutions (CTS) verbunden.
REvil ist sehr anpassungsfähig und ermöglicht es den Bedienern, das Verhalten auf den infizierten Hosts zu ändern. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verteilen die Malware, während die REvil-Betreiber die Malware- und Zahlungsinfrastruktur bereitstellen. Partner erhalten 60% bis 70% der Lösegeldzahlung. REvil ist ein RaaS in dem Sinne – dass eine einzelne Gruppe die Entwicklung der Ransomware betreibt und verwaltet und den Zugriff an verbundene Unternehmen verkauft.
REvil-Ransomware: Neue Taktiken zur Erpressung
Unknown der Hauptakteur bei der Werbung und Verkaufsförderung, kündigte letzte Woche in einem öffentlich zugänglichen russischsprachigen Cyberkriminalitätsforum neue "Funktionen" an. Ein Sicherheitsforscher namens 3xp0rt machte darauf auf Twitter aufmerksam. Die REvil-Bande hat diesen und andere Forenthreads genutzt um anderen Cyberkriminellen ihren Dienst nahezubringen. Sie hoffen mit Gruppen kooperieren zu können die sich auf die Verletzung von Unternehmensnetzwerken spezialisiert haben.
Im Februar veröffentlichte die REvil-Gruppe bereits eine Stellenanzeige zur Rekrutierung von Personen für DDoS-Angriffe. Neu auf der Liste der Taktiken ist ein kostenloser Dienst, bei dem die Bedrohungsakteure oder ihre Partner VoIP-Anrufe mit Sprachverschlüsselung an die Medien und Geschäftspartner des Opfers mit Informationen über den Angriff durchführen. Die Ransomware-Bande geht davon aus: Die Offenlegung durch Anrufe bei Kunden und Partnern, von denen sich Daten auf den mit der Ransomware befallenen Computern befinden, einen weiteren Zahlungsdruck auf das Opfer erzeugen wird.
Kommentare