Af Eskil Sørensen, 06/04/21
Gruppen bag REvil ransomwaren har tilføjet et nyt element til sin malware, der gør det muligt for angribere at genstarte en inficeret enhed efter kryptering. Det skriver Bankinfosecurity i en artikel før Påske efter et tweet fra researchere fra MalwareHunterTeam.
Det fremgår, at REvil-gruppen har tilføjet to nye kommandolinjer kaldet 'AstraZeneca' og 'Franceisshit' i Windows’ ’safe mode’. ’AstraZeneca’ bruges efter det oplyste til at køre ransomwaren i safe mode, mens ’Franceisshit’ bruges til at køre en kommando i safe mode for at få pc'en til at køre i normal tilstand efter den efterfølgende genstart.
Dette element er sandsynligvis blev tilføjet for at gøre det muligt for angriberne at kryptere filerne i Windows safe mode for at undgå at blive afsløret.
Ifølge artiklen i Bankinfosecurity kan genstart af en Windows-computer i safe mode deaktivere software, evt. antivirus- eller anti-ransomware-software, der ellers har til formål at holde computeren sikker. Dette vil så give angriberne mulighed for at foretage ændringer, som ellers muligvis ikke er tilladt at udføre i normal tilstand.
Ransomware-as-a-service
REvil, også kendt som Sodinokibi og Sodin, dukkede første gang op i april 2019. Gruppen bag ransomwaren er for nyligt blevet knyttet til et angreb mod pc-producenten Acer ved at anvende ProxyLogon-fejlene i Microsoft Exchange server.
REvil-gruppen har løbende opgraderet sin malware og ændret sine taktikker og går i højere grad efter større organisationer i forsøg på at få større udbetalinger. Samtidig udskammer Revil sine ofre via dets dedikerede lækageside.
Researchere har tilskrevet den nylige stigning i REvil-angreb til gruppen voksende antal tilknyttede virksomheder, der anvender dens ransomware-as-a-service-model. Således viste en rapport fra sikkerhedsfirmaet McAfee i 2019 tilknytning til mindst 41 aktive datterselskaber, ligesom gruppen anvender andre virksomheder til forskellige typer opgaver ifm. angrebene.
Links
https://www.bankinfosecurity.com/revil-ransomware-now-reboot-infected-devices-a-16259