Kami baru-baru ini melihat laporan bahwa geng ransomware REvil kembali online setelah penangkapan beberapa anggotanya pada Januari 2022 oleh otoritas Rusia yang mengklaim untuk membongkar kelompok tersebut dan penangkapan dua anggota pada November 2021 oleh otoritas AS. Meskipun masih harus dilihat apakah kemunculan kembali REvil ini mencakup anggotanya yang paling agresif dengan keterampilan teknis yang sama atau hanya kelompok peniru yang mengangkat nama lama dan bagian dari infrastruktur, kami telah melihat aliran binari REvil baru yang stabil. di alam liar. Saat ini hipotesis utama kami adalah bahwa satu atau beberapa individu telah menguasai Blog Happy REvil lama dan beberapa kode sumber biner. Penting untuk dicatat bahwa REvil sudah menjadi re-branding GandCrab untuk mendapatkan pengaruh dan perhatian, oleh karena itu luar biasa bahwa nama REvil, mengingat keburukannya, digunakan lagi/masih. Ini memberi kami alasan untuk percaya bahwa anggota kunci asli dari grup REvil kemungkinan besar tidak terlibat.
Namun, muncul kembali atau tidak, itu menjadi kepentingan kita.
Kelompok intelijen ancaman Trellix Advanced Research Center telah lama mempelajari REvil, pendahulunya GandCrab, dan aktor lain seperti mereka. Di blog ini kami akan sering merujuk penelitian yang telah kami lakukan di masa lalu pada GandCrab dan REvil. Bagi mereka yang tertarik dengan penelitian sebelumnya yang telah kami lakukan, periksa blog berikut:
Kepiting Gandum:
Virus Bulletin 2019: Berbagai cara memasak kepiting: GandCrab Ransomware-as-a-Serive (RaaS) dianalisis secara mendalam
menjijikan;
Episode 1: Apa yang dikatakan kode itu kepada kita
Episode 2: The Allstars
Episode 3: Ikuti Uang
Episode 4: Cresendo
Untuk bertahan melawan penjahat dunia maya, kita harus memahami bagaimana mereka berpikir dan bagaimana mereka bekerja. Untuk benar-benar mengakhiri operasi perusahaan kejahatan dunia maya, atau operasi ransomware dalam kasus ini, orang atau kelompok individu yang bertanggung jawab atas serangan dunia maya harus ditemukan dan dituntut, tetapi penegakan hukum bisa sangat sulit untuk menentukan siapa anggota afiliasi di balik tertentu. serangan adalah.
Menjelang penyitaan FBI atas dana yang dicuri oleh REvil dan dakwaan serta penangkapan beberapa anggota kelompok, Trellix menggambarkan teknik baru untuk menghitung anggota geng ransomware kunci. Kami menjelaskan ini secara ekstensif dalam publikasi VB2019 kami di GandCrab dan blog REvil sebelumnya. Di blog ini, kami akan memandu Anda mulai dari langkah-langkah yang diambil REvil untuk membangun perusahaan penjahat siber mereka melalui kesalahan langkah yang pada akhirnya menyebabkan kejatuhan mereka.
Membangun Perusahaan Cybercriminal
Penelitian tim kami ke Conti mengulangi banyak dari apa yang kami pelajari dari studi kami tentang REvil. Kelompok penjahat dunia maya berkembang dalam kecanggihan dan operasi mereka, membangun segala sesuatu mulai dari SDM, penggajian, hingga budaya dan program pengenalan karyawan, hingga pusat panggilan. Mereka adalah organisasi yang berfungsi penuh, dengan pemasaran dan dukungan pengguna. Dan saat mereka meningkatkan dan membangun kepercayaan dan ketergantungan pada orang lain, mereka sering membuka pintu bagi peneliti dan penegak hukum untuk menggali lubang dalam operasi dan teknik mereka yang dapat memberikan cara baru untuk mengungkap siapa sebenarnya anggota afiliasi mereka.
Gambar 1: bagian dari pemasaran internal yang menunjukkan merek dan visi untuk menarik bakat oleh ransomware GandCrab pendahulu Revil.
Ketika kita memikirkan sebuah “kerajaan” kejahatan dunia maya, berikut adalah unsur-unsur utama yang kita harapkan untuk diamati di alam liar:
1. Produk Stabil: Agar grup berhasil, ia harus memiliki malware yang mudah digunakan dan stabil, dan dalam kasus ransomware, decryptor yang bahkan lebih stabil.
2. Teknologi & Pemasaran untuk Skala: Banyak kelompok ransomware dan geng penjahat dunia maya lainnya mempromosikan aktivitas, misi, dan posting pekerjaan mereka di situs web gelap yang dikuratori dengan cermat yang digunakan untuk menanamkan rasa takut pada korban/calon korban. Cara merek organisasi itu sendiri juga penting untuk menarik dan mempertahankan anggota afiliasi. Untuk menskalakan grup Ransomware-as-a-Service (RaaS), kami sering mengamati grup yang menggunakan panel terpusat untuk berkomunikasi dengan korban dan meminta binari dan dekripsi, dibandingkan dengan bernegosiasi melalui email dengan ratusan korban pada saat tertentu.
3. Orang yang Tepat: Mempekerjakan afiliasi yang paling berbakat adalah penting, tetapi seperti halnya banyak perusahaan, banyak grup masih memerlukan anggota untuk menyelesaikan masa percobaan untuk membuktikan bahwa mereka cocok.
4. Kemitraan Strategis: Untuk meningkatkan lebih banyak lagi, kelompok penjahat dunia maya memanfaatkan kemitraan untuk menjalankan area bisnis mereka – di mana saja mulai dari layanan penyamaran malware hingga pusat panggilan hingga layanan pencucian Bitcoin. Hal ini memungkinkan kelompok untuk fokus pada spesialisasi mereka sendiri.
5. Bayar Hutang Anda: Loyalitas mungkin merupakan faktor terpenting dalam menjaga operasional kelompok penjahat dunia maya. Pembuat malware telah memudahkan manajemen untuk mengetahui apa yang harus mereka bayar dengan membuat mekanisme pelacakan untuk menentukan komisi di seluruh tim yang bertanggung jawab atas serangan.
Tanda-tanda sebuah organisasi di ambang kehancuran sering terlihat ketika mereka lupa untuk tetap rendah hati dan loyalitas keluar jendela atau mereka membuat kesalahan yang ceroboh. Pertumbuhan infrastruktur dan operasi serta sumber daya manusia berarti pertumbuhan peluang untuk mengacaukan dan meningkatkan kemungkinan penyelidik seperti kita untuk menemukan cara baru untuk mempelajarinya.
Gambar 2: Pengumuman bahwa Layanan Pengacau Malware yang populer bermitra dengan GandCrab Ransomware. Detail bahwa penggunanya menerima diskon yang bagus untuk menggunakan layanan khusus ini.
REvil Dalam Aksi
REvil pertama kali muncul di alam liar sebagai Sodinokibi pada akhir April 2019. Muncul dari grup GandCrab, Sodinokibi alias REvil, grup tersebut dengan cepat mendirikan operasi, membangun kerajaan RaaS volume tinggi yang bertanggung jawab atas pencurian jutaan dolar di seluruh negara dan industri, dan beberapa serangan ransomware paling signifikan dalam sejarah baru-baru ini. Grup RaaS beroperasi dengan grup inti orang yang memelihara kode dan grup lain, yang dikenal sebagai afiliasi, menyebarkan ransomware. Fungsi dukungan tambahan dan mitra adalah kunci untuk operasi, dan biasanya kelompok RaaS mendapatkan komisi dari uang tebusan yang dikumpulkan dari para korban. Namun, ada juga grup seperti grup Conti yang alih-alih membayar persentase, afiliasi mereka digaji.
Artikel ini ditulis oleh John Fokker dan dikirim ke TechBooky oleh Caitlin Robertson. John Fokker adalah Kepala Intelijen Ancaman & Insinyur Utama di Trellix
