Ransomware Revil: Cos’è, Come Si Diffonde E Principali Attacchi

Scopri cos’è il ransomware REvil, come si diffonde e i suoi principali attacchi. Scopri quando è iniziato e perché ha avuto successo.

Cos’è il ransomware REvil?

Il ransomware REvil è uno degli ultimi tipi di ransomware che ha guadagnato terreno negli ultimi anni.

Questo malware viene distribuito tramite e-mail di phishing, link dannosi e altre tecniche di social engineering.

REvil è apparso per la prima volta nel 2019 e si è diffuso fino all’inizio del 2022.

Fa parte dei Ransomware as a Service (RaaS) ed è anche noto con il nome Sodinokibi.

Quando ha avuto origine il ransomware REvil?

Questo ransomware non ha un passato criminale molto lungo in quanto è apparso per la prima volta nell’aprile 2019.

E, ad oggi, è scomparso.

Chi sono gli hacker di REvil?

Non è stato facile individuare gli hacker responsabili del ransomware REvil.

A novembre 2021, l’INTERPOL ha annunciato un’operazione congiunta tra 19 agenzie e in 17 paesi, relativa a questo ransomware e altri crimini:

“GoldDust ha sgominato una banda di criminali informatici di ransomware, procedendo all’arresto di sette persone sospette. L’operazione ha dato un’idea di quanto gli attacchi ransomware di certi gruppi, come GandCrab e REvil Sodinokibi, rappresentino una minaccia globale“

Chi c’è dietro REvil?

Tutte le teorie e le prove indicano che il gruppo responsabile del ransomware REvil proviene dalla Russia.

In un comunicato della Casa Bianca, Joe Biden si è espresso riguardo all’operazione dell’INTERPOL:

“Quando ho incontrato il presidente Putin a giugno, ho chiarito che gli Stati Uniti avrebbero preso provvedimenti nei confronti dei criminali informatici responsabili. Stiamo conferendo pieno potere al governo federale per bloccare l’attività criminale e gli autori dei reati informatici”.

Qual è l’origine di REvil?

Secondo gli esperti, il ransomware REvil, noto anche come Sodinokibi, proviene dalla Russia.

Il rapporto di Chainalysis, la società di dati blockchain, rafforza questa tesi: il 74% dei ricavi da ransomware nel 2021 è stato destinato a ceppi affiliati alla Russia.

Lo studio di UNIT 42 indica che il ransomware REvil, o Sodinokibi, appartiene allo stesso gruppo di GandCrab:

“All’inizio del 2019, gli autori dietro GandCrab hanno annunciato che si sarebbero ritirati, perché avevano guadagnato a sufficienza e causato abbastanza danni. Quasi allo stesso tempo, si stava palesando una nuova minaccia ransomware, chiamata REvil”.

Estensione del file ransomware REvil

L’estensione del file preannuncia che i dati sono stati crittografati da un ransomware.

È molto probabile che i documenti abbiano un’estensione diversa.

Ad esempio, myCV.docx diventa myCV.docx.locked.

Se un ransomware ha criptato i tuoi file aggiungendo queste estensioni, contatta HelpRansomware.

L’azienda è specializzata nel rimuovere i ransomware e aprire file criptati.

Panoramica della mappa mondiale del ransomware REvil

UNIT 42 ha effettuato un’analisi sul ransomware REvil, dal 2020 al 2022.

Da aprile 2019 a luglio 2021, i settori interessati sono stati:

• Agricoltura;
• Automobilismo;
• Energia;
• Servizi finanziari;
• Salute;
• Manifattura;
• Retail;
• Tecnologia.

E i paesi colpiti:

• Brasile;
• Cile;
• Spagna;
• Regno Unito;
• Messico;
• Svezia;
• Stati Uniti.

A luglio 2021, è stato sferrato un importante attacco ransomware contro Kaseya, di cui parleremo a breve.

Dovremmo aspettare la fine del 2022 per disporre dei dati annuali, tuttavia, lo studio sul ransomware REvil indica che:

“Nell’aprile del 2022, il vecchio data leak site di REvil è stato messo online e ha iniziato a indirizzare i visitatori a un nuovo sito Onion, con una lista delle vittime, passate e future.

Il nuovo sito include la sezione ‘Unisciti a noi’ per il reclutamento attivo di affiliati”.

L’unico dato economico risale al 2020, quando il riscatto medio ammontava a 508.523 dollari.

Principali attacchi ransomware REvil

L’attacco ransomware REvil più significativo è stato sferrato a luglio del 2022 contro la società di software Kaseya.

Secondo UNIT 42:

“Gli affiliati di REvil hanno sferrato un attacco alla catena di approvvigionamento di Kaseya. I server di Kaseya sono stati utilizzati per diffondere il ransomware e colpire ignare vittime. Gli autori della minaccia hanno sfruttato  una vulnerabilità di sistema”.

Come menzionato precedentemente in questo articolo, l’INTERPOL ha arrestato diversi hacker, tra cui il responsabile di questo attacco.

Oltre 1.000 aziende sono state colpite contemporaneamente in numerosi paesi come Argentina, Canada, Spagna, Regno Unito, Messico, Stati Uniti e Sud Africa.

Il collettivo REvil ha riferito sul Dark Web di aver infettato oltre un milione di dispositivi e offerto alle sue vittime uno strumento di decrittografia per 70 milioni di dollari.

Il sito web di Kaseya riporta le ultime informazioni aggiornate riguardo all’attacco ransomware.

Un’altra vittima nota del ransomware REvil è la multinazionale Acer.

Il gruppo di hacker ha fatto trapelare informazioni private della società, come movimenti bancari e bilanci.

Le aziende sono il principale bersaglio dei ransomware, in quanto hanno necessità di recuperare file crittografati in tempi rapidi.

Comunque sia, è fondamentale non cedere al ricatto dei cybercriminali.

Facendo il loro gioco, si incoraggia gli hacker a chiedere altro denaro.

Se sei vittima di un attacco ransomware, contatta una società di esperti come HelpRansomware.

Il team è specializzato nel rimuovere ransomware e decriptare file.

REvil ransomware è ancora attivo?

A gennaio del 2022, l’arresto dei cybercriminali membri ha portato allo smantellamento del gruppo ransomware REvil.

Ciononostante, la vecchia piattaforma Tor di REvil è tornata a funzionare nel mese di aprile del 2022.

Alcune modifiche sono state apportate per indirizzare i visitatori  a nuovi link verso altri ransomware.

Non si conoscono ancora gli autori di questi nuovi movimenti.

Jakub Kroustek, direttore della ricerca sui malware di Avast, ha pubblicato un tweet per informare del blocco di una variante del ransomware REvil.

Che fine ha fatto il ransomware REvil?

A gennaio del 2022, il Servizio Federale per la Sicurezza della Federazione Russa (FSB), insieme al Dipartimento Investigativo del Ministero degli affari interni russo, ha annunciato l’arresto di 14 membri appartenenti a Sodinokibi:

“La FSB russa ha individuato tutti i componenti del collettivo criminale REvil coinvolti nella circolazione illecita di mezzi di pagamento, documentando le loro transazioni”.

L’operazione si è conclusa con il sequestro di denaro e altri beni rinvenuti in 25 indirizzi riconducibili ai 14 arrestati:

• Più di 426 milioni di rubli;
• 600 mila dollari;
• 500 mila euro;
• Portafogli crittografici;
• Apparecchiature informatiche.

L’arresto della banda ha segnato la fine di REvil, nel gennaio del 2022.

Come si diffonde il ransomware REvil?

Il ransomware si propaga principalmente attraverso il phishing.

L’allegato  inviato via e-mail contiene un malware che, una volta aperto, inietta un virus di crittografia dei file presenti sul computer.

Gli hacker criptano tutti i file e richiedono un riscatto in cambio della chiave di decrittografia.

Oggi, una delle tecniche preferite da molti cyber criminali per diffondere malware è l’invio di e-mail indesiderate.

Sanno che la stragrande maggioranza degli utenti non bada agli allegati inviati via posta elettronica, in quanto li reputa innocui.

Se sei una vittima di ransomware, rivolgiti ad una società specializzata nel rimuovere ransomware e recuperare file crittografati.

HelpRansomware, con oltre 25 anni di esperienza, fornisce supporto 24/7 e garantisce al 100% l’intero processo di rimozione e decrittografia.

Rilevamento del ransomware REvil

Di seguito, diamo alcune indicazioni per rilevare il ransomware:

• Identifica il carico utile del ransomware: cerca file eseguibili inserendo nomi come “REvil”, “WannaCry” o “Locky”;
• Monitora le modifiche al registro di sistema;
• Verifica se lo spazio disponibile sul disco rigido diminuisce;
• Verifica se l’utilizzo della CPU aumenta.

A volte, è difficile capire se si è stati infettati da ransomware perché non ci sono segnali sospetti.

Quanto è efficace REvil?

L’attacco a Kaseya, citato poc’anzi, ha evidenziato quanto il REvil ransomware sia potente ed efficace.

Inoltre, il report IBM Security X-Force Threat Intelligence Index 2022 fornisce informazioni riguardo a questo tipo di ransomware.

Nel 2021, REvil ha rappresentato da solo il 37% di tutti gli attacchi registrati, seguito da Ryuk (13%), LockBit 2.0 (7%) e AtomSilo (3%).

Protezione da attacchi ransomware

Di seguito, HelpRansomware propone alcune raccomandazioni per proteggersi dai ransomware:

• Esegui una copia di backup su un disco esterno o un servizio di archiviazione in cloud;
• Mantieni aggiornato il software del computer;
• Presta attenzione alle pagine web che visiti;
• Presta attenzione alle e-mail ricevute, controllando il mittente e i link inseriti;
• Utilizzare password complesse e non condividerle con terzi;
• Attiva l’autenticazione a due fattori (2FA) sui servizi disponibili;
• Evita il download di software pirata o contenuti illegali.

Gli attacchi ransomware sono molto aggressivi ed è importante proteggere i propri dispositivi.

In quest’ottica, HelpRansomware aiuta le aziende a prevenire gli attacchi ransomware, offrendo servizi di sicurezza informatica.

Come difendersi da REvil?

REvil non è da considerarsi tra i più aggressivi ransomware del momento, ma si ritiene che possa penetrare il mercato della criminalità informatica con un’altra variante.

Pertanto, è doveroso che gli utenti di Internet seguano alcune linee guida per proteggersi e difendersi, come ad esempio:

• Backup: eseguire regolarmente il backup dei dati e conservarli offline;
• Antivirus: installare un software antivirus su tutti i dispositivi e aggiornarlo regolarmente;
• Consapevolezza: educare i dipendenti su tutti i tipi di ransomware, come riconoscerli e quali azioni intraprendere in caso di attacco.

Queste precauzioni sono fondamentali sia per i privati che per le aziende, che costituiscono l’obiettivo principale del ransomware.

Conclusioni

Attraverso questa guida, abbiamo rivelato cos’è il ransomware REvil, come si diffonde e i suoi attacchi principali. Hai scoperto quando è iniziato e perché ha avuto successo.

Da questo articolo, si possono trarre le seguenti conclusioni:

• REvil è uno dei più noti ransomware, dal 2019 ad oggi;
• Non è attualmente attivo, ma alcune versioni molto simili si stanno facendo strada;
• L’INTERPOL e l’FSB hanno smantellato la banda di cybercriminali dietro a REvil;
• L’attacco a Kaseya, il più importante perpetrato da REvil, ha colpito oltre 1000 aziende e richiesto un riscatto di 70 milioni di dollari;
• Anche Acer è stato vittima di questo ransomware che ha pubblicato movimenti bancari ed altri dati finanziari;
• Il ransomware si propaga principalmente tramite e-mail indesiderate.

Nonostante il crollo di REvil, avvenuto all’inizio del 2022, sono state individuate nuove varianti.

Questo ci indica come i ransomware tendono ad evolvere, senza scomparire del tutto.

Se sei vittima di un ransomware, contatta HelpRansomware, leader nella rimozione di ransomware e nella decrittografia dei file.