REvil勒索策略和技术解密

两个月前，我们报道了：REvil勒索团伙网站已神秘关闭

近日，REvil勒索软件操作的暗网服务器在下线近两个月后突然重新启动。该网站名为Happy Blog，是今年早些时候REvil成员于7月13日关闭的众多服务器之一。

前日我们对此进行了报道：REvil重出江湖?

昨天继续跟踪报道：REvil正式同名复出，消失内幕曝光

REvil已成为世界上最臭名昭著的勒索软件运营商之一。两个月前，它从总部位于巴西的全球最大肉类包装公司的美国子公司处勒索了1100万美元的款项，向一家巴西医疗诊断公司索要500万美元，并对数千家使用Kaseya VSA的IT管理软件的公司发起了大规模海啸攻击。

今天我们将针对REvil策略和技术进行解密。

虽然REvil(也称为 Sodinokibi)看起来像是网络犯罪领域的新参与者，但安全专家已经监视与该组织有关的威胁行为者三年了。我们第一次遇到他们是在 2018年，当时他们与一个名为GandCrab的团队合作。当时，他们主要专注于通过恶意广告和漏洞利用工具包分发勒索软件，这些恶意广告和恶意软件工具是黑客在访问恶意网站时用来通过偷渡式下载感染受害者的恶意广告和恶意软件工具。

该组织后来演变为REvil，不断发展壮大，并因泄露大量数据集和索要数百万美元的赎金而声名鹊起。它现在是网络勒索团伙的精英集团之一，他们对破坏性攻击的激增负有责任，这些攻击使勒索软件成为全球企业和国家面临的最紧迫的安全威胁。

今年早些时候，我们发布了一项威胁评估，将REvil/Sodinokibi与GandCrab联系起来。在这里，我们提供国外网络安全顾问那里收集到的见解，他们在2021年前六个月处理了10多个REvil勒索软件案例。我们希望这些关于REvil 为应对这种威胁而采取的策略和步骤的说明将帮助组织更好地防御未来的勒索软件攻击，以进一步了解 REvil 和其他勒索软件运营商。

勒索软件即服务

REvil是最著名的勒索软件即服务 (RaaS) 提供商之一。该犯罪集团提供适应性强的加密器和解密器、用于协商通信的基础设施和服务，以及在受害者不支付赎金要求时发布被盗数据的泄漏站点。对于这些服务，REvil收取协商赎金价格的一定比例作为费用。REvil的附属公司通常使用两种方法说服受害者付款：他们加密数据，使组织无法访问信息、使用关键计算机系统或从备份中恢复，他们还窃取数据并威胁将其发布到泄漏站点(一种策略)称为双重勒索。

REvil操作背后的威胁参与者通常会暂存和泄露数据，然后将环境加密作为其双重勒索计划的一部分。如果受害者组织不付款，REvil威胁行为者通常会发布泄露的信息。我们观察到作为REvil客户的威胁行为者专注于攻击大型组织，这使他们能够获得越来越大的赎金。在我们观察到的案例中，REvil及其附属公司在2021年前6个月平均支付了约225万美元。特定赎金的大小取决于组织的规模和被盗数据的类型。此外，当受害者未能在截止日期前通过比特币付款时，攻击者通常会最终将勒索需求翻倍。

2021年趋势

今年到目前为止，我们已经记录10多个REvil勒索软件案例。我们发现与REvil的标准攻击生命周期存在一些偏差。为了快速参考，我们生成了可操作的威胁对象和缓解措施(ATOM)，以显示REvil的策略、技术、程序和其他妥协指标 (IOC)。

REvil如何获得访问权限

REvil威胁实施者继续使用先前泄露的凭据通过远程桌面协议(RDP)远程访问受害者面向外部的资产。另一种常见的策略是网络钓鱼，导致二级负载。但是，我们还观察到一些与最近的Microsoft Exchange Server CVE相关的独特向量，以及一个涉及SonicWall妥协的案例。以下是2021年迄今为止观察到的五个独特的进入向量。

● 用户下载恶意电子邮件附件，打开该附件后，会启动有效载荷，下载并安装恶意软件的QakBot变体。至少在一种情况下，我们观察到的QakBot版本收集了存储在本地系统上的电子邮件，将其存档并将其泄露到攻击者控制的服务器。

● 在一个例子中，一个包含宏嵌入Excel文件的恶意ZIP文件附件会导致Ursnif感染，最初被用来破坏受害网络。

● 一些参与者利用受损凭据通过RDP访问面向互联网的系统。在这些情况下，目前还不清楚参与者如何获得对凭证的访问权限。

● 攻击者利用客户端SonicWall设备中归类为CVE-2021-20016的漏洞来获取访问环境所需的凭据。

● 攻击者利用Exchange CVE-2021-27065和CVE-2021-26855漏洞访问面向互联网的Exchange服务器，最终允许攻击者创建名为“admin”的本地管理员帐户，并将其添加到“Remote桌面用户”组。

REvil威胁参与者如何在环境中建立他们的存在

一旦获得访问权限，REvil威胁参与者通常会利用Cobalt Strike BEACON在环境中建立他们的存在。在我们观察到的几个实例中，他们使用了远程连接软件ScreenConnect和AnyDesk。在其他情况下，他们选择创建自己的本地和域帐户，并将其添加到“远程桌面用户”组中。此外，威胁行为者经常禁用防病毒、安全服务和进程，这些服务和进程会干扰或以其他方式检测它们在环境中的存在。

以下是我们在2021年迄今为止观察到的具体技术：

● 一旦参与者可以访问环境，他们就会使用不同的工具集来建立和维护他们的访问权限，包括使用Cobalt Strike BEACON以及创建本地和域帐户。在一个实例中，REvil小组利用BITS作业连接到远程IP，下载并执行Cobalt Strike BEACON。

● 在几起事件中，我们发现REvil威胁行为者使用“全面部署软件”来部署ScreenConnect和AnyDesk软件，以维持环境中的访问。

● 在许多情况下，REvil参与者通过BEACON和NET命令创建本地和域级账户，即使他们有权访问域级管理凭据。

● 我们观察到REvil威胁参与者使用[1-3]字母数字批处理和PowerShell脚本停止和禁用防病毒产品、与Exchange、VEAAM、SQL和EDR供应商相关的服务以及启用的终端服务器的所有活动中的常见规避技术连接。

REvil威胁参与者如何扩大访问和收集情报

在大多数情况下，REvil参与者需要访问具有更广泛权限的其他帐户，以便在受害者环境中进一步移动并执行其任务。他们经常使用Mimikatz访问本地主机上的缓存凭据。但是，我们还观察到SysInternals工具procdump作为转储 LSASS进程的一种手段。我们还发现该威胁攻击者访问文件名中包含“密码”名称的文件是很常见的。在一个实例中，我们观察到尝试访问KeePass Password Safe。

在攻击的侦察阶段，REvil威胁行为者经常利用各种开源工具来收集有关受害者环境的情报，在某些情况下，还会使用管理命令NETSTAT和IPCONFIG来收集信息。

以下是对REvil 2021年行为的具体观察。

● 网络侦察工具netscan、Advanced Port Scanner、TCP View和KPort Scanner在响应的一半以上的交战中被观察到。

● 攻击者经常使用Bloodhound和AdFind来绘制网络地图并收集其他活动目录信息。

● 在两次参与中，观察到ProcessHacker和PCHunter的使用，这似乎是为了深入了解环境中主机上运行的进程和服务。

REvil威胁行为者如何在受威胁的环境中横向移动

一般而言，REvil威胁行为者利用Cobalt Strike BEACON和RDP以及先前已泄露的凭据在整个受感染环境中横向移动。此外，观察到使用ScreenConnect和AnyDesk软件作为横向移动的方法。虽然我们已经看到其他勒索软件组织采用这些策略，但我们观察到REvil威胁行为者从MEGASync和PixelDrain等文件共享站点检索这些二进制文件。

REvil威胁者如何完成他们的目标

最后，我们观察到REvil威胁行为者进入攻击的最后阶段，加密网络、暂存和泄露数据以及破坏数据以防止恢复和阻碍分析。

勒索软件部署

● REvil威胁实施者通常使用合法的管理工具PsExec部署勒索软件加密器，其中包含在侦察阶段获得的受害网络的计算机名称或 IP 地址的文本文件列表。

● 在一个实例中，REvil威胁参与者利用BITS作业从其基础设施中检索勒索软件。在另一个实例中，REvil威胁参与者将其恶意软件托管在MEGASync 上。

● REvil威胁者还使用域账户单独登录主机并手动执行勒索软件。

● 在两个实例中，REvil威胁行为者利用程序dontsleep.exe以在勒索软件部署期间保持主机运行。

● REvil威胁参与者通常会在最初入侵后的7天内对环境进行加密。但是，在某些情况下，威胁行为者最多等待23天。

窃取数据

● 攻击者经常使用MEGASync软件或导航到MEGASync网站来窃取存档数据。

● 在一种情况下，威胁行为者使用RCLONE来窃取数据。

防御演习

在这些攻击的加密阶段，REvil威胁参与者利用批处理脚本和wevtutil.exe清除了103个不同的事件日志。此外，虽然如今这种策略并不罕见，但REvil威胁实施者删除了卷影副本，显然是为了进一步阻止IT调查证据的恢复。

结论：进化

虽然REvil操作组可能针对大型组织，但所有组织都可能容易受到攻击。随着新冠后的环境，IT和其他网络维护者应该花时间了解他们的环境中什么是正常的，并注意和质疑异常情况，调查他们，质疑你的防御。是否所有用户都需要能够打开启用宏的文档权限?您是否具有端点可见性和保护措施，至少可以提醒您注意QakBot等二次感染?如果您必须要用到RDP，你是否使用令牌化MFA或者跳板机?不要只提问一次——这需要经常自我提问，像攻击者一样思考。最后一点，补丁是否及时修复，基本上漏洞的万恶之源在微软。

只有这样，你或许能够阻止你的公司成为下一个受害者，并避免因漏洞原因登上全球头条新闻。

原文来源：红数位