REvil勒索策略和技術解密

兩個月前，我們報道了：REvil勒索團伙網站已神秘關閉

近日，REvil勒索軟件操作的暗網服務器在下線近兩個月后突然重新啟動。該網站名為Happy Blog，是今年早些時候REvil成員于7月13日關閉的眾多服務器之一。

前日我們對此進行了報道：REvil重出江湖?

昨天繼續跟蹤報道：REvil正式同名復出，消失內幕曝光

REvil已成為世界上最臭名昭著的勒索軟件運營商之一。兩個月前，它從總部位于巴西的全球最大肉類包裝公司的美國子公司處勒索了1100萬美元的款項，向一家巴西醫療診斷公司索要500萬美元，并對數千家使用Kaseya VSA的IT管理軟件的公司發起了大規模海嘯攻擊。

今天我們將針對REvil策略和技術進行解密。

雖然REvil(也稱為 Sodinokibi)看起來像是網絡犯罪領域的新參與者，但安全專家已經監視與該組織有關的威脅行為者三年了。我們第一次遇到他們是在 2018年，當時他們與一個名為GandCrab的團隊合作。當時，他們主要專注于通過惡意廣告和漏洞利用工具包分發勒索軟件，這些惡意廣告和惡意軟件工具是黑客在訪問惡意網站時用來通過偷渡式下載感染受害者的惡意廣告和惡意軟件工具。

該組織后來演變為REvil，不斷發展壯大，并因泄露大量數據集和索要數百萬美元的贖金而聲名鵲起。它現在是網絡勒索團伙的精英集團之一，他們對破壞性攻擊的激增負有責任，這些攻擊使勒索軟件成為全球企業和國家面臨的最緊迫的安全威脅。

今年早些時候，我們發布了一項威脅評估，將REvil/Sodinokibi與GandCrab聯系起來。在這里，我們提供國外網絡安全顧問那里收集到的見解，他們在2021年前六個月處理了10多個REvil勒索軟件案例。我們希望這些關于REvil 為應對這種威脅而采取的策略和步驟的說明將幫助組織更好地防御未來的勒索軟件攻擊，以進一步了解 REvil 和其他勒索軟件運營商。

勒索軟件即服務

REvil是最著名的勒索軟件即服務 (RaaS) 提供商之一。該犯罪集團提供適應性強的加密器和解密器、用于協商通信的基礎設施和服務，以及在受害者不支付贖金要求時發布被盜數據的泄漏站點。對于這些服務，REvil收取協商贖金價格的一定比例作為費用。REvil的附屬公司通常使用兩種方法說服受害者付款：他們加密數據，使組織無法訪問信息、使用關鍵計算機系統或從備份中恢復，他們還竊取數據并威脅將其發布到泄漏站點(一種策略)稱為雙重勒索。

REvil操作背后的威脅參與者通常會暫存和泄露數據，然后將環境加密作為其雙重勒索計劃的一部分。如果受害者組織不付款，REvil威脅行為者通常會發布泄露的信息。我們觀察到作為REvil客戶的威脅行為者專注于攻擊大型組織，這使他們能夠獲得越來越大的贖金。在我們觀察到的案例中，REvil及其附屬公司在2021年前6個月平均支付了約225萬美元。特定贖金的大小取決于組織的規模和被盜數據的類型。此外，當受害者未能在截止日期前通過比特幣付款時，攻擊者通常會最終將勒索需求翻倍。

2021年趨勢

今年到目前為止，我們已經記錄10多個REvil勒索軟件案例。我們發現與REvil的標準攻擊生命周期存在一些偏差。為了快速參考，我們生成了可操作的威脅對象和緩解措施(ATOM)，以顯示REvil的策略、技術、程序和其他妥協指標 (IOC)。

REvil如何獲得訪問權限

REvil威脅實施者繼續使用先前泄露的憑據通過遠程桌面協議(RDP)遠程訪問受害者面向外部的資產。另一種常見的策略是網絡釣魚，導致二級負載。但是，我們還觀察到一些與最近的Microsoft Exchange Server CVE相關的獨特向量，以及一個涉及SonicWall妥協的案例。以下是2021年迄今為止觀察到的五個獨特的進入向量。

● 用戶下載惡意電子郵件附件，打開該附件后，會啟動有效載荷，下載并安裝惡意軟件的QakBot變體。至少在一種情況下，我們觀察到的QakBot版本收集了存儲在本地系統上的電子郵件，將其存檔并將其泄露到攻擊者控制的服務器。

● 在一個例子中，一個包含宏嵌入Excel文件的惡意ZIP文件附件會導致Ursnif感染，最初被用來破壞受害網絡。

● 一些參與者利用受損憑據通過RDP訪問面向互聯網的系統。在這些情況下，目前還不清楚參與者如何獲得對憑證的訪問權限。

● 攻擊者利用客戶端SonicWall設備中歸類為CVE-2021-20016的漏洞來獲取訪問環境所需的憑據。

● 攻擊者利用Exchange CVE-2021-27065和CVE-2021-26855漏洞訪問面向互聯網的Exchange服務器，最終允許攻擊者創建名為“admin”的本地管理員帳戶，并將其添加到“Remote桌面用戶”組。

REvil威脅參與者如何在環境中建立他們的存在

一旦獲得訪問權限，REvil威脅參與者通常會利用Cobalt Strike BEACON在環境中建立他們的存在。在我們觀察到的幾個實例中，他們使用了遠程連接軟件ScreenConnect和AnyDesk。在其他情況下，他們選擇創建自己的本地和域帳戶，并將其添加到“遠程桌面用戶”組中。此外，威脅行為者經常禁用防病毒、安全服務和進程，這些服務和進程會干擾或以其他方式檢測它們在環境中的存在。

以下是我們在2021年迄今為止觀察到的具體技術：

● 一旦參與者可以訪問環境，他們就會使用不同的工具集來建立和維護他們的訪問權限，包括使用Cobalt Strike BEACON以及創建本地和域帳戶。在一個實例中，REvil小組利用BITS作業連接到遠程IP，下載并執行Cobalt Strike BEACON。

● 在幾起事件中，我們發現REvil威脅行為者使用“全面部署軟件”來部署ScreenConnect和AnyDesk軟件，以維持環境中的訪問。

● 在許多情況下，REvil參與者通過BEACON和NET命令創建本地和域級賬戶，即使他們有權訪問域級管理憑據。

● 我們觀察到REvil威脅參與者使用[1-3]字母數字批處理和PowerShell腳本停止和禁用防病毒產品、與Exchange、VEAAM、SQL和EDR供應商相關的服務以及啟用的終端服務器的所有活動中的常見規避技術連接。

REvil威脅參與者如何擴大訪問和收集情報

在大多數情況下，REvil參與者需要訪問具有更廣泛權限的其他帳戶，以便在受害者環境中進一步移動并執行其任務。他們經常使用Mimikatz訪問本地主機上的緩存憑據。但是，我們還觀察到SysInternals工具procdump作為轉儲 LSASS進程的一種手段。我們還發現該威脅攻擊者訪問文件名中包含“密碼”名稱的文件是很常見的。在一個實例中，我們觀察到嘗試訪問KeePass Password Safe。

在攻擊的偵察階段，REvil威脅行為者經常利用各種開源工具來收集有關受害者環境的情報，在某些情況下，還會使用管理命令NETSTAT和IPCONFIG來收集信息。

以下是對REvil 2021年行為的具體觀察。

● 網絡偵察工具netscan、Advanced Port Scanner、TCP View和KPort Scanner在響應的一半以上的交戰中被觀察到。

● 攻擊者經常使用Bloodhound和AdFind來繪制網絡地圖并收集其他活動目錄信息。

● 在兩次參與中，觀察到ProcessHacker和PCHunter的使用，這似乎是為了深入了解環境中主機上運行的進程和服務。

REvil威脅行為者如何在受威脅的環境中橫向移動

一般而言，REvil威脅行為者利用Cobalt Strike BEACON和RDP以及先前已泄露的憑據在整個受感染環境中橫向移動。此外，觀察到使用ScreenConnect和AnyDesk軟件作為橫向移動的方法。雖然我們已經看到其他勒索軟件組織采用這些策略，但我們觀察到REvil威脅行為者從MEGASync和PixelDrain等文件共享站點檢索這些二進制文件。

REvil威脅者如何完成他們的目標

最后，我們觀察到REvil威脅行為者進入攻擊的最后階段，加密網絡、暫存和泄露數據以及破壞數據以防止恢復和阻礙分析。

勒索軟件部署

● REvil威脅實施者通常使用合法的管理工具PsExec部署勒索軟件加密器，其中包含在偵察階段獲得的受害網絡的計算機名稱或 IP 地址的文本文件列表。

● 在一個實例中，REvil威脅參與者利用BITS作業從其基礎設施中檢索勒索軟件。在另一個實例中，REvil威脅參與者將其惡意軟件托管在MEGASync 上。

● REvil威脅者還使用域賬戶單獨登錄主機并手動執行勒索軟件。

● 在兩個實例中，REvil威脅行為者利用程序dontsleep.exe以在勒索軟件部署期間保持主機運行。

● REvil威脅參與者通常會在最初入侵后的7天內對環境進行加密。但是，在某些情況下，威脅行為者最多等待23天。

竊取數據

● 攻擊者經常使用MEGASync軟件或導航到MEGASync網站來竊取存檔數據。

● 在一種情況下，威脅行為者使用RCLONE來竊取數據。

防御演習

在這些攻擊的加密階段，REvil威脅參與者利用批處理腳本和wevtutil.exe清除了103個不同的事件日志。此外，雖然如今這種策略并不罕見，但REvil威脅實施者刪除了卷影副本，顯然是為了進一步阻止IT調查證據的恢復。

結論：進化

雖然REvil操作組可能針對大型組織，但所有組織都可能容易受到攻擊。隨著新冠后的環境，IT和其他網絡維護者應該花時間了解他們的環境中什么是正常的，并注意和質疑異常情況，調查他們，質疑你的防御。是否所有用戶都需要能夠打開啟用宏的文檔權限?您是否具有端點可見性和保護措施，至少可以提醒您注意QakBot等二次感染?如果您必須要用到RDP，你是否使用令牌化MFA或者跳板機?不要只提問一次——這需要經常自我提問，像攻擊者一樣思考。最后一點，補丁是否及時修復，基本上漏洞的萬惡之源在微軟。

只有這樣，你或許能夠阻止你的公司成為下一個受害者，并避免因漏洞原因登上全球頭條新聞。

原文來源：紅數位