REvil Sodinokibi Ransomware: DataBreach Analysis

Revil Sodinokibi Ransomware: Introduzione

Revil Sodinokibi :Il Cyber Incident Response Team di Swascan ha osservato e analizzato la nuova famiglia di ransomware nota come Sodinokibi Ransomware. Il Ransomware in questione, chiamato anche REvil, è da attivo almeno a partire da aprile 2019.

Revil o Sodinokibi è una delle famiglie di questo tipo di malware più attive, in particolare attraverso la modalità di Ransomware as a service (RaaS).

Praticamente il Gruppo Revil non effettua dirittamente gli attacchi.

Mette a disposizione di terze parti criminali infrastruttura, strumenti, ransomware e relativo codice.

Sotto attacco Ransomware?
Contattaci

Gli attacchi sono effettuati da “clienti” – anche detti affiliati – e il gruppo criminale REvil riceve una percentuale dei riscatti estorti dalle vittime (si stima intorno al 20/30%).

Questo “business model” criminale ha permesso di incrementare la diffusione e utilizzo di questo ransomware.

Non è un caso che il gruppo dei Criminal Hacker REvil abbia dichiarato che l’attività ha garantito un profitto illecito di oltre 100 milioni di dollari solo quest’anno e nel 2019 un profitto illecito dell’8% in più rispetto al famoso ransomware Ryuk nonostante Sodinokibi sia comparso solo nel secondo trimestre dello scorso anno.

Revil Sodinokibi Ransomware: Summary

Il ransomware REvil Sodinokibi è stato intercettato ed identificato per la prima volta ad aprile 2019. Presenta similitudini, a livello tattico, con il ransomware GandCrab. La somiglianza è determinata dall’utilizzo di  un codice simile. 

Le particolarità di questo ransomware sono:

  1. Esfiltrazione di informazioni
  2. Crittografia delle informazioni
  3. Configurabilità; questo implica la possibilità di compilare, customizzare, ottimizzare il payload.
  4. Pubblicazione files esfiltrati all’interno di un blog dedicato in caso di non pagamento del riscatto.
Sodinokibi Ransomware
Il blog in cui vengono pubblicati i dati rubati

I Criminal Hacker di Revil da giugno hanno di fatto creato un’asta “pubblica” delle informazioni critiche, in termini di business e/o privacy, che sono stati esfiltrati. Questa escalation è una nuova leva di pressione ai danni delle vittime per forzare il pagamento del riscatto e allo stesso tempo un nuovo “canale di profitto” illecito per i criminali informatici.

Sodinokibi Ransomware: Technical Details

Revil Ransomware: Decriptare i file

I file crittografati dal ransomware REvil Sodinokibi non sono decriptabili. Al momento non esistono decriptor che possano permettere il ripristino dei dati in chiaro. In particolare si segnala che Revil utilizza chiavi Diffie-Hellman a curva ellittica. Un algoritmo crittografico che prevede chiavi più brevi ma più efficaci.

Sodinokibi crea due diverse chiavi pubbliche, una come parte della configurazione JSON e un’altra incorporata nel binario stesso. Queste chiavi pubbliche verranno utilizzate per crittografare la chiave privata generata localmente.

Revil Sodinokibi: Vettori di Attacco

Il ransomware Revil Sodinokibi ottiene l’accesso all’infrastruttura target attraverso:

  • Sfruttamento di vulnerabilità note
  • Social Engineering e nello specifico campagne di phishing,

Nello specifico alcune analisi evidenziano che i principali vettori sono le sessioni RDP compromesse (65%), phishing (16%) e vulnerabilità del software (8%).

Revil Sodinokibi: Sfruttamento delle vulnerabilità

Relativamente allo sfruttamento delle vulnerabilità nel 2019 è stata ampiamente sfruttata la vulnerabilità CVE-2019-2725 relativa ad Oracle Weblogic (CVE-2019-2725).

Negli ultimi mesi i vettori di attacco principali sono:

  • Sistemi RDP esposti
  • Fortinet VPN CVE-2018-13379

Revil: Early Warning di Compromissione

Sistemi di Cyber security Framework dotati di sistemi di Soc as a Service hanno la possibilità di intercettare preventivamente eventuali tentativi di intrusione. In assenza di un adeguato Cyber Security Framework aziendale, uno dei segnali di intrusione da parte di Revil Sodinokibi è individuare la presenza di terminali configurati in:

  • Latino azero
  • georgiano
  • Tartaro
  • rumeno
  • Azero
  • Kazako
  • Kirghizistan
  • Turkmeno
  • Latino uzbeko
  • Uzbeko
  • ucraino
  • russo
  • Bielorusso
  • Tagico
  • armeno
  • Siriaco
  • Siria araba

 

In questo caso è fortemente consigliato attuare una attività di digital investigation attraverso un Incident Response Team che ha l’obiettivo di identificare la presenza del pyload e artefatti malevoli all’interno della rete aziendale

Sodinokibi Ransomware: la richiesta di riscatto

Sodinokibi Ransomware
La richiesta recapitata

Revil Sodinokibi:Informazioni Esfiltrate – Data Breach

Come indicato precedentemente REvil Sodinobiki effettua l’esfiltrazione dei dati.

Il ransomware non effettua solo la crittografia e/o cancellazione direttamente dei file di backup ma esfiltra direttamente i dati aziendali che vengono poi pubblicati sul loro blog su un sito onion.  L’esfiltrazione avviene prima che si proceda nella crittografia. In particolare Sodinobiki attua anche tecniche sofisticate di offuscamento del codice per eludere il rilevamento da parte degli antivirus.

Nello specifico Revil esfiltra i seguenti dati

  • File e documenti
  • Architettura dei sistemi
  • Nome utente
  • Nome del computer
  • Gruppo di lavoro
  • Sistema operativo
  • Informazioni sul processore

Crittografia dei Dati

Sodinokibi è un ransomware che crittografa tutti i file sulle unità locali ad eccezione di quelli elencati nel loro file di configurazione.

Estensione dei file: .java, .aaf, .aep, .aepx, .plb, .prel, .aet, .ppj, .gif .psd. .bmp, .3dm, .max, .accdb, .db, .mdb, .dwg, .dxf, .cpp, .cs, .h,, php, .asp, .rb, .jpg, .jpeg, .raw, .tif, .png.

Esecuzione e Attività

Ottenuto l’accesso ai sistemi della vittima aggiunge i seguenti processi:

powershell.exe -e {base-64 encoded command}

Inoltre termina e blocca i seguenti servizi:

  • mepocs
  • vss
  • memtas
  • sql
  • veeam
  • sophos
  • backup
  • svc$

Nei sistemi infetti blocca e termina anche:

  • winword
  • ocssd
  • sql
  • encsvc
  • oracle
  • outlook
  • thebat
  • tbirdconfig
  • powerpnt
  • onenote
  • dbeng50
  • dbsnmp
  • ocomm
  • xfssvccon
  • mspub
  • msaccess
  • infopath
  • visio
  • steam
  • isqlplussvc
  • wordpad
  • agntsvc
  • excel
  • synctime
  • mydesktopservice
  • ocautoupds
  • mydesktopqos
  • thunderbird
  • firefox
  • sqbcoreservice

Revil Sodinokibi:Distribuzione Geografica

I Target vittima di Sodinokibi sono geograficamente distribuiti con una concentrazione negli Stati Uniti, India e in Europa.

Sodinokibi Ransomware
Si evidenzia e segnala come i paesi dell’est Europa non sono oggetto di attenzione.

Revil Sodinokibi: Indicatori di Compromissione

Di seguito gli IoC del ransowmare Sodikinobi :

Sodinobiki Ransomware

https://www.virustotal.com/gui/file/0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d/detection

 

  • MD5   fb68a02333431394a9a0cdbff3717b24
  • SHA-1            1399bf98a509adb07663476dee7f9fee571e09f3
  • SHA-256       0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d

 

Indicatori di Compromissione Compilato

La versione del ransomware Revil gestito e analizzato da Swascan durante un DataBreach risulta essere una variante customizzata del ransowmare in questione. Nello specifico:

VirusTotal

  • MD5     f3b181a01ab21edca3ec193741676dec
  • SHA-1   318021d9f68b87de16e7ddf2a19ea08031fc4af2
  • SHA-256           a77a8f20f8fc1ba5435cbf99d3e11b98cb6c3e9d93605070878a3476761127ae

 

https://analyze.intezer.com/files/a77a8f20f8fc1ba5435cbf99d3e11b98cb6c3e9d93605070878a3476761127ae

Payload Analysis

Analisi Minacce

Threat Identifiers (15 rules, 26 matches)

Severity Category Operation Count Classification
5/5 Antivirus Malicious content was detected by heuristic scan 3
5/5 Persistence Writes to Master Boot Record (MBR) 1
5/5 Reputation Known malicious file 1
5/5 YARA Malicious content matched by YARA rules 1
4/5 User Data Modification Modifies content of files 1 Ransomware
4/5 User Data Modification Renames files 1 Ransomware
3/5 Network Connection Connects to a CMS hoster 1
2/5 System Modification Changes the desktop wallpaper. 1
2/5 Anti Analysis Tries to detect virtual machine 1
1/5 Hide Tracks Writes an unusually large amount of data to the registry 1
1/5 Mutex Creates mutex 1
1/5 System Modification Modifies application directory 3
1/5 System Modification Creates an unusually large number of files 1
1/5 Network Connection Connects to HTTPS server 8
0/5 Discovery Enumerates running processes 1

MITRE ATT&CK™ Matrix

Network Analysis

Total Sent: 6.31 KB
Total Received: 15.08 KB
ports: 443
contacted IP addresses
URLs extracted
files downloaded
malicious hosts detected

DNS

DNS requests for domains
nameserver contacted
total requests returned errors

HTTP/S

URLs contacted, servers
sessions, sending 6.31 KB, receiving 15.08 KB
Hosts di Destinazione

Hosts Destinazione:

  •  dinslips.se
  • airconditioning-waalwijk.nl
  • babcockchurch.org
  • ymca-cw.org.uk
  • stoeberstuuv.de
  • whyinterestingly.ru
  • daniel-akermann-architektur-und-planung.ch
  • slashdb.com

Virtual Machine Information

Name win7_64_sp1
Description
Architecture x86 64-bit
Operating System Windows 7
Kernel Version 6.1.7601.17514 (3844dbb9-2017-4967-be7a-a4a2c20430fa)
Network Scheme Name Local Gateway
Network Config Name Local Gateway

Analyzer Information

Analyzer Version 3.2.2
Dynamic Engine Version 3.2.2 / 2020-06-03 06:06 (UTC+2)
Static Engine Version 1.3.0 / 2020-06-03 08:06 (UTC+2)
Local AV Version AVCORE v2.1 Linux/x86_64 11.0.1.19 (January 14, 2020)
Local AV Database Update Release Date 2020-12-20 02:51:49+00:00
VTI Ruleset Version 3.6
YARA Built-in Ruleset Version 1.5
Analysis Report Layout Version 7

Software Information

Adobe Acrobat Reader Version 10.0.0
Microsoft Office 2010
Microsoft Office Version 14.0.4762.1000
Internet Explorer Version 8.0.7601.17514
Chrome Version 58.0.3029.110
Firefox Version 25.0
Flash Version 11.2.202.233
Java Version 7.0.450.18

System Information

Sample Directory C:\Users\5p5NrGJn0jS HALPmcxz\Desktop
Computer Name XDUWTFONO
User Domain XDUWTFONO
User Name 5p5NrGJn0jS HALPmcxz
User Profile C:\Users\5p5NrGJn0jS HALPmcxz
Temp Directory C:\Users\5P5NRG~1\AppData\Local\Temp
System Root C:\Windows

Come difendersi

E’ possibile tutelare e difender la propria infrastruttura da attacchi ransomware attraverso l’adozione di un corretto Cyber Security Framework.

Sicurezza Preventiva

Analisi del rischio tecnologico:

Analisi del Rischio Umano

Analisi del Rischio Organizzativo

Sicurezza Proattiva

Sicurezza Predittiva

 

Autore: Pierguido Iezzi

AvatarDa anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

ON PREMISE

Domain threat
intelligence

ICT Security
Assessment

Phishing
Attack Simulation

Smishing
Attack Simulation