Des opérateurs de rançongiciels REvil ont été observés lors de la recherche de serveurs de point de vente (PoS) sur l’un des réseaux de leur victime par des chercheurs de l’équipe Threat Intelligence de Symantec.

REvil (également connu sous le nom de Sodinokibi) est une opération de rançongiciel en tant que service (RaaS) connue pour violer les réseaux d’entreprise en utilisant des exploits, des services de bureau à distance exposés, du spam, ainsi que des fournisseurs de services gérés piratés.

Après avoir accédé au réseau d’une cible, les opérateurs se sont propagés latéralement tout en volant également les données des serveurs et des stations de travail, cryptant ensuite toutes les machines du réseau après avoir obtenu un accès administratif à un contrôleur de domaine.

Dans le cadre de la campagne observée par Symantec, les affiliés de REvil ont utilisé la boîte à outils de test de pénétration Cobalt Strike standard pour déployer les charges utiles de ransomware REvil (alias Sodinokibi) sur les réseaux de leurs cibles.

La rançon a doublé en trois heures

Au total, les chercheurs ont trouvé des implants Cobalt Strike sur les réseaux de huit entreprises ciblées dans cette campagne, les attaquants infectant et chiffrant trois entreprises des secteurs des services, de l’alimentation et des soins de santé avec le ransomware REvil.

« Les entreprises ciblées dans cette campagne étaient principalement de grandes entreprises, même multinationales, qui étaient probablement ciblées parce que les attaquants pensaient qu’ils seraient prêts à payer une rançon importante pour récupérer l’accès à leurs systèmes », a expliqué Symantec.

On a demandé à chacune des victimes de payer 50 000 $ de crypto-monnaie Monero ou 100 000 $ si un délai de trois heures expirait.

Les acteurs REvil ont fait de leur mieux pour échapper à la détection après avoir accédé aux réseaux de leurs cibles en utilisant une infrastructure hébergée sur des services légitimes tels que Pastebin (stockage de charge utile) et Amazon CloudFront (serveur de commande et de contrôle).

Ils ont également désactivé les logiciels de sécurité pour empêcher les équipes de sécurité de détecter leurs attaques et de voler des informations d’identification …