REvil

REvil är en Rysslandsbaserad hackerorganisation vars namn är en sammanslagning av "ransomware" och "evil". Grupper som REvil distribuerar ransomware, som i huvudsak är ett filblockerande virus som krypterar filer efter infektion. Efter att uppgifterna har stulits och gjorts otillgängliga för offret skickar gruppen ut ett meddelande om lösensumma till offren. Meddelandet kräver vanligtvis att lösen ska betalas i kryptovalutor som Bitcoin (till följd av upplevd anonymitet och enkel online-betalning). Om lösensumman inte betalas i tid fördubblas summan.

Unik teknik

Gruppen REvil använder en unik teknik för att sätta ytterligare press på offren genom att stjäla data, låsa ut offren från deras datorer, och sedan hota att publicera den stulna datan genom att auktionera ut den på sina webbplatser på ”DarkWeb”.

REvil hyr även ut sin teknologi till andra hacker-grupper så att de kan genomföra liknande attacker. REvil erbjuder därmed “Ransomware as a Service” (RaaS). En av förra årets mest uppmärksammade ransomware attacker genomfördes av gruppen DarkSide köpte tjänsten av REvil och utförde sin attack i maj år 2021 mot Colonial Pipeline (ett amerikanskt oljeledningsföretag).

Hur REvil genomför sina attacker

En metod REvil använder för den initiala infektionen är genom att använda tidigare stulna autentiseringsuppgifter för att få fjärråtkomst via RDP (Remote Desktop Protocol) till datorer och serverar och därefter distribuera skadlig programvara. En annan vanlig metod är genom nätfiske (Phishing), d.v.s. genom att lura en person att avslöja känslig information.

Kända attacker

REvil har kopplats till många kända attacker, såsom mot Quanta som är ett taiwanesiskt företag som säljer bland annat datacenter-materiel till Apple. REvil kunde stjäla känsliga data från Apple-liknande dator- och mobil-designer och krävde en lösensumma på 50 miljoner dollar. En månad efter tog REvil bort alla referenser relaterade till attacken från sin sida på DarkWeb. Därför är det oklart om lösensumman betaldes, och i så fall om det var Apple eller Quanta som betalade.

En annan känd attack var mot New Yorks advokatbyrå Grubman Shire Meiselas & Sacks, där de påstår sig att ha fått tag i dokument relaterade till tidigare president Donald Trump.

Den 30 maj 2021 attackerades JBS S.A. av ransomware som tvingade företaget att tillfälligt pausa alla sina amerikanska köttsfabriker. JBS tvingandes betala en lösensumma på 11 miljoner dollar i Bitcoin till REvil för att kunna få krypteringsnyckeln.

Den 2 juli 2021 attackerade REvil programvaran Kaseya (som hanterar nätverk, system och informationsteknologiinfrastruktur) genom att distribuera ransomware på Kaseyas system. REvil krävde 70 miljoner dollar för att återställa allt krypterade data. Som en följd av detta tvingades svenska Coop butikskedjan stänga 800 butiker under flera dagar.

Den 13 juli 2021 försvann REvils webbplatser och annan infrastruktur från internet. Det visade senare att Ryssland har angripet många av gruppens medlemmar och därmed stängde ner REvil.

Det är viktig att notera att REvil till skillnad från statliga hackare är rent ekonomiskt motiverade.

Så skyddar du ditt organisationer mot ransomware

Även om REvil gruppen riktar in sig på stora organisationer, så innebär det inte att mindre organisationer inte är utsatta för linkade attacker. Därför är det viktigt att alltid granska sårbarheter, och att ifrågasätta ditt säkerhetsskydd. Man måste tänka som angriparen.

Här är några rekommendationer för att motverka ransomware:

- Inställningar och behörigheter: Se över era systeminställningar och regelverk. Se över behörigheter och tillgång. Se till att användare körs med minsta möjliga behörighet för att kunna utföra sitt arbete.

- Minska attackytan: Ha system för att filtrera skadlig e-post från systemet innan de levereras till användarna.

- Gör backuper: Föra att kunna återställa system som drabbats av ransomware behöver det finnas backuper och rutiner för återställning av dessa.

- Inför multifaktorautentisering: För att stoppa att ransomware sprider sig bör multifaktorautentisering införas på alla konton i organisationen.

- Patcha system regelbundet: Ha ett system som möjliggör patchning av alla verksamhetens enheter och applikationer.