REvil ransomware: wat weten we erover?

REvil is een ransomware-as-a-service operator die grote sommen geld van grote organisaties over de hele wereld heeft afgeperst. De naam is een samentrekking van ‘Ransomware’ en ‘Evil’, geïnspireerd op de Resident Evil-videogame.

Ransomware-as-a-service (RaaS) is een bedrijfsmodel waarbij ransomware wordt verkocht of verhuurd aan kopers, die ‘affliliates’ worden genoemd. De organisatie van ransomware-as-a-service werkt als volgt: een groep van hackers creëert en stelt krachtige malware ter beschikking aan andere cybercriminelen, de zogenaamde affiliates. Deze affiliates kunnen de ransomware tegen betaling gebruiken om cyberaanvallen uit te voeren.

In het geval van REvil eisten de makers van de ransomware een commissie tot 40% van de inkomsten die worden gegenereerd voor het leveren van de malware en de ondersteuning ervan. Onderzoekers ontdekten later echter dat het kernteam van REvil een achterdeur in de ransomware had ontworpen, waardoor ze met de slachtoffers konden chatten en onder de neus van de aanvaller (de affiliate) over de betaling van het losgeld konden onderhandelen.

De REvil ransomware, die in april 2019 voor het eerst opdook en ook bekend staat als Sodinokibi, heeft om twee redenen de aandacht van cybersecurity-onderzoekers getrokken: Ten eerste zijn de doelwitten wereldwijd bekend (onder de slachtoffers behoren onder andere Lady Gaga, Apple, Acer en een advocatenkantoor dat voor Donald Trump werkt). En ten tweede zijn de aanvallen van de ransomware uitermate effectief, iets wat uit de grootte van de afgeperste bedragen blijkt. De winst van de REvil-hackers wordt geschat op meer dan 81 miljoen dollar in het afgelopen jaar.

Volgens het IBM X-Force incident team (een cloudgebaseerd platform voor dreigingsinformatie) was 1 op de 4 cybersecurityproblemen die in 2021 interventie vereisten een ransomware aanval — en een derde daarvan werd gepleegd door REvil / Sodinokibi.

In principe werkt REvil zoals de meeste andere ransomware. Na het binnendringen van het apparaat van het slachtoffer versleutelt de software alle bestanden met behulp van een sleutel die alleen de REvil-hackers bezitten. Het slachtoffer wordt vervolgens door de hacker om losgeld gevraagd om weer toegang tot zijn documenten te krijgen.

Een bijzonderheid van de REvil-software is echter de gebruikte dubbele afpersingstechniek: zelfs nadat het aanvankelijke losgeld is betaald, dreigt de afperser de gevoelige gegevens van het slachtoffer openbaar te maken. Steeds meer hackersgroepen passen deze techniek toe, waardoor de duur van de chantage toeneemt en ransomware-aanvallen gevaarlijker worden.

REvil-hackers extraheren gevoelige gegevens voordat ze worden versleuteld. Wanneer het losgeld niet wordt betaald, staan ze erom bekend de slachtoffers te schande maken door hun gegevens op het dark web te plaatsen.

De hackersgroep achter REvil was een in Rusland gebaseerde of Russisch sprekende criminele organisatie. De activiteiten van de hackersgroep achter REvil zijn door de autoriteiten in het verleden op verschillende manieren ontmanteld, onder meer door de arrestatie van een groot aantal groepsleden begin 2022. Een overzicht:

• In september 2021 gaf Bitdefender een decryptiesleutel vrij waarmee bedrijven die vóór een bepaalde datum door de REvil-malware waren getroffen, hun bestanden konden ontsleutelen en geen losgeld hoefden te betalen.
• In oktober 2021 haalde een internationaal gecoördineerde aanval veel van de servers en back-up servers van de groep offline.
• In november 2021 leidde een internationale coalitie van rechtshandhavingsinstanties tot de arrestatie van 7 mensen die in verband worden gebracht met REvil en een soortgelijke ransomware-groep.
• In januari 2022 kondigde de Russische politie 14 arrestaties van groepsleden en de inbeslagname van hun bezittingen aan.

Vervolgens was het een paar maanden stil rondom REvil.

Echter, in april 2022 was de oude website van REvil weer online en leidde bezoekers om naar een nieuw Onion-adres. De site zag er echter een beetje anders uit dan de originele site, ‘Happy Blog’ getiteld, van de oorspronkelijke REvil groep. De nieuwe website had een RSS2.0 Feed en een ‘Join Us’-sectie voor het werven van affiliates.

De nieuwe website probeert nieuwe affiliates te werven door “een verbeterde versie van de REvil ransomware” te beloven. Experts weten niet precies wat ze hiervan kunnen verwachten, maar het is mogelijk dat REvil verdere problemen in onze online wereld aan kan richten. Het is belangrijk waakzaam te blijven en jezelf zo goed mogelijk te beschermen tegen malware.

Volg deze tips om jezelf tegen ransomware en andere malware te beschermen:

• Voer strenge toegangscontroles uit op gedeelde netwerken, zodat hackers niet zomaar binnen kunnen komen.
• Controleer je rekeningen zorgvuldig op verdachte activiteiten.
• Stel een actieplan om op snel en doeltreffend op aanvallen te reageren.
• Train personeel in je bedrijf over de verschillende phishingtechnieken waarmee cybercriminelen je verleiden malware te downloaden.
• Gebruik krachtige cybersecuritytools, zoals een VPN, om gegevens die op netwerken worden uitgewisseld te versleutelen.
• Gebruik Threat Protection van NordVPN. Dit is een krachtige functie die tegen malware beschermt door schadelijke advertenties en websites te blokkeren en je bestanden scant voordat je ze naar je apparaat downloadt.