A palavra REvil é resultante do encurtamento do nome completo da ameaça, Ransomware Evil, que também é conhecida como Sodinokibi. Trata-se de uma operação criminosa de Ransomware-as-a-Service fundada em 2019 e que se mantém muito atuante até o momento da publicação deste artigo.

Segundo nossas soluções de detecção, o REvil tem atuação global, sendo os Estados Unidos, África do Sul e França seus principais alvos. Infelizmente, o Brasil também é muito afetado por essa ameaça, sendo o oitavo país com mais detecções no mundo, liderando as detecções na América Latina, com 42,9%, seguido por Colômbia (15,5%) e Argentina (12,6%).

A atuação do REvil é principalmente focada em empresas de diversos segmentos, como tecnologia, comércio e governo, buscando utilizar técnicas de Doxing para obter maior vantagem sobre as vítimas. O Doxing é a parte do ataque de ransomware anterior a criptografia, onde os criminosos estudam o ambiente e extraem dados sensíveis, visando chantagear as empresas em um momento futuro.

Mesmo sem ter informações que comprovem, suspeita-se que se trata de um grupo cibercriminoso originado na Rússia. Supostamente, o grupo pode ser uma continuação do já extinto GandCrab, que provavelmente deu origem ao grupo DarkSide ou trabalha em parceria com eles. Essa suspeita existe devido as similaridades de códigos encontrados em amostras das ameaças de ambos grupos.

Principais características do REvil

  • Acesso Inicial: por se tratar de um serviço, o acesso inicial do REvil varia de acordo com quem o estiver utilizando, mas tem como principais portas de entrada phishings, exploração de vulnerabilidades e acesso através de credenciais de serviços comprometidos, como o RDP por exemplo.
  • O funcionamento do ransomware vai depender de uma série de parâmetros estipulados antes do envio da ameaça. Dentre as funcionalidades disponíveis estão:
    • Escalação de privilégios locais - estipula se a ameaça tentará utilizar a exploração de vulnerabilidades para aumentar seu privilégio dentro do sistema ou não.
    • Velocidade de criptografia – essa opção configura como o REvil irá se comportar ao criptografar arquivos grandes.
    • Comunicação de rede – este parâmetro define se haverá exfiltração de informações ou não.
    • Whilelist – o ransomware vem pré-configurado para não criptografar determinadas pastas e arquivos. Isso ajuda a evitar que o sistema se corrompa no momento do ataque.
  • Exclui Shoadow Copies para evitar que os arquivos possam ser recuperados.
  • Movimentação lateral – pode se espalhar na rede através de scripts como PsExec ou RDP.
  • Evasão de defesas – utiliza recursos já presentes no sistema operacional ou baixa novos softwares para evitar a detecção por soluções de antivírus.
  • Persistência – o malware pode estar configurado para estabelecer persistência no ambiente. Essa persistência costuma ser estabelecida na pasta de inicialização do registro.
  • Exfiltração – pode inserir softwares ou utilizar recursos já existentes no ambiente alvo para extrair informações que futuramente podem ser utilizadas para extorsão.

Como se proteger

O REvil tem se mostrado uma ameaça em constante evolução, implementando recursos para coibir cada vez mais suas vítimas. Por se tratar de um serviço de ransomware, os cuidados devem ser redobrados, pois a ameaça pode surgir diretamente dentro da rede, sem passar por nenhum filtro externo. Tendo isso em mente, vamos as proteções.

  • Tenha soluções de proteção de endpoint em todos os dispositivos que pertençam ao ambiente, sejam servidores, estações de trabalho ou dispositivos móveis. Isso ajuda a garantir que, caso uma ameaça consiga permear o ambiente, ela possa ser prontamente detectada via execução ou via comunicação anômala de rede.
  • Adote soluções que protejam o tráfego de informações. Soluções de antiphishing, antispam e antimalware para servidores de e-mail auxiliam muito no combate às ameaças. Como citei, muitas vezes o acesso inicial acontece via phishing, por isso proteções para o servidor de e-mail evitam que um anexo malicioso entre. Caso um anexo consiga se camuflar e chegar até o usuário, também é interessante dispor de soluções de proteção para a navegação, visando inibir que o malware seja identificado antes do download iniciar ou durante a transferência.
  • Tenha segregação de redes internas: separar as redes, mesmo internamente, pode auxiliar a conter os danos causados por uma eventual ameaça que tenha conseguido ser executada na rede. A segregação mais comum de rede é separar os servidores das estações de trabalho, permitindo que apenas determinadas portas de comunicação possam passar pelo firewall.
  • Utilize política de Least privilegie para todo o ambiente: sejam pessoas ou softwares, a política do “mínimo acesso necessário” garante que os recursos liberados sejam apenas os necessários para que o funcionário/software desempenhe sua função esperada, nada além. Isso traz diversos benefícios, como auxiliar a impedir eventuais movimentações laterais e escalações de privilégio.
  • Faça atualização periódica. Boa parte das vulnerabilidades utilizadas pelos criminosos para entrar nas empresas já havia sido corrigida por seus fabricantes. Garantir que o ambiente esteja adequadamente atualizado diminui consideravelmente a superfície de ataque disponível para os criminosos.
  • Faça campanhas de conscientização periódicas para todos os funcionários da empresa, desde alguém que ocupe um cargo de estágio até os C-levels. Todos lidam direta ou indiretamente com informações sensíveis e precisam ser instruídos sobre os riscos atrelados a elas.

Técnicas do MITRE ATT&CK

Tactic ID Name
Initial Access T1189 Drive-by Compromise
T1204 External Remote Services
T1133 Phishing
Execution T1566 Exploitation for Client Execution
T1203 Scheduled Task/Job
T1053 User Execution
Persistence T1133 External Remote Services
T1053 Scheduled Task/Job
Privilege Escalation T1068 Exploitation for Privilege Escalation
T1053 Scheduled Task/Job
Defense Evasion T1211 Exploitation for Defense Evasion
T1562 Impair Defenses
Lateral Movement T1210 Exploitation of Remote Services
T1570 Lateral Tool Transfer
T1021 Remote Services
Exfiltration T1041 Exfiltration Over C2 Channel