Ist REvil zurück? Oder ist es ein Nachahmer?
Zusammenfassung
Forscher von Akamai haben eine DDoS-Kampagne (Distributed Denial of Service) gegen einen Kunden von Akamai beobachtet, die angeblich mit der berüchtigten RaaS-Gruppe (Ransomware as a Service) REvil in Zusammenhang steht.
Bisher wurden Websites attackiert, indem eine Welle von HTTP/2 GET-Anfragen mit einigen Cache-Busting-Techniken gesendet wurde, um die Website zu überfordern.
In die Anfragen sind Zahlungsforderungen, ein Bitcoin-Wallet (BTC) und geschäftliche/politische Forderungen eingebettet.
Die Angriffe wirken kleiner als frühere ähnliche Kampagnen, die angeblich von REvil gestartet wurden. Außerdem scheinen politische Zwecke mit dem Erpressungsversuch in Verbindung zu stehen. So etwas wurde noch nie beobachtet.
Das BTC-Wallet hat es bisher nicht gegeben und es ist nicht an bereits bekannte BTC-Wallets, die REvil verwendet, gebunden.
Einführung
Die berüchtigte Ransomware-Gruppe REvil ist in der Sicherheitscommunity bereits bekannt, und das aus gutem Grund. Die Gruppe wurde bekannt, nachdem ihr der Kaseya-Ransamware-Angriff im Jahr 2021 zugeschrieben wurde.Außerdem war sie verantwortlich für den verheerenden Angriff auf JBS im selben Jahr. Angeblich wurde REvil im März 2022 von der russischen Regierung aufgelöst, die gezielt Aktionen gegen REvil-Mitglieder durchführte. Dazu gehörte auch die Verhaftung eines Mitglieds, das an einem Angriff beteiligt war, der zu erheblichen Störungen der Colonial Pipeline führte.
In der vergangenen Woche erfuhr das Security Intelligence Response Team (SIRT) von Akamai von einen Layer-7-Angriff auf einen unserer Kunden im Gastgewerbe, dessen Urheber angeblich die Gruppe REvil war. In diesem Beitrag werden wir den Angriff untersuchen und mit früheren Angriffen vergleichen, die angeblich mit der REvil-Gruppe in Zusammenhang stehen.
Der Angriff
Am 12. Mai 2022 alarmierte ein Kunde von Akamai das SIRT-Team wegen eines versuchten Angriffs durch eine Gruppe, die behauptete, mit REvil in Verbindung zu stehen. Wir begannen sofort mit der Analyse der Daten und der Abfrage unsere übrigen Angriffsdaten, um herauszufinden, ob wir diese Behauptung bestätigen oder widerlegen können.
Bei dem Angriff handelte es sich um einen koordinierten DDoS-Angriff mit einem Traffic-Höchstwert von 15.000 Anfragen pro Sekunde, der aus einer einfachen HTTP GET-Anfrage bestand. Hierbei enthielt der Anfragepfad eine Nachricht an das Ziel. Teil dieser Nachricht war eine 554-Byte-Nachricht mit einer Zahlungsaufforderung. Die Nachricht enthielt die Anweisung, dass Bitcoins an eine Wallet-Adresse überwiesen werden sollten, damit die Angriffe eingestellt werden. Es gab zusätzlich eine geospezifische Forderung, die das Zielunternehmen dazu aufforderte, den Geschäftsbetrieb in einem ganzen Land einzustellen. Wenn das Zielunternehmen die geschäftlichen/politischen Forderungen nicht einhalten und das „Lösegeld“ nicht im vorgegebenen Zeitraum zahlen würde, sollte ein Folgeangriff stattfinden, der den Geschäftsbetrieb weltweit beeinträchtigen sollte.
Diese Kampagne folgte einem ähnlichen Muster wie dem, das Imperva öffentlich gemeldet hatte und dasdie Zeichenfolge „revil“ in der URL als Teil der Erpressungsnachricht an Betriebsteams und Führungskräfte des Zielunternehmens enthielt.
Angriffsdetails und Indicators of Compromise
Cache-Busting
Der Anfragepfad, der die Lösegeldforderung enthielt, war statisch, enthielt aber auch eine zufällig generierte, eindeutige 8-stellige Zeichenfolge am Ende sowie einen zusätzlichen eindeutigen 8-stelligen Abfragestring. Dies ist eine typische Cache-Busting-Technik in dem Bemühen, alle Anfragen einzigartig zu machen, sodass sie das Caching umgehen und in einer Anfrage resultieren, die vom ursprünglichen Web-Server abgerufen werden muss.
HTTP-Header
Außerdem enthielt der Anfrageheader „Accept“ eine lange statische Liste der akzeptierten Medientypen im Bezug auf alle Anfragen während des Angriffs. Diese Kombination und ihre einzigartige Reihenfolge, könnten zum Fingerprinting der Angriffsquellen während des Angriffs beitragen.
"Accept": "Text/HTML,Application/xhtml+XML,Application/XML;q=0,9,image/avif,image/webp,image/apng,*/*;q=0,8,Application/signed-Exchange;V=B3;q=0,9"
Erwähnenswert ist auch der User-Agent-Anfrageheader. Während des gesamten Angriffs wurde von allen Angriffsquellen ein einziger statischer User-Agent-String ohne Abweichungen erfasst:
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
Die HTTP GET-Anfrageheader weichen ebenfalls von der Norm ab (im Vergleich zu „typischen“ Mustern), was möglicherweise auf ein individuell entwickeltes DDoS-Angriffstool hinweist. Diese Werte ändern sich möglicherweise von Kampagne zu Kampagne, sodass das einfache Schreiben von Signaturen für diese Muster den Sicherheitsexperten im Bezug auf Indicators of Compromise (IoC) möglicherweise keinen Vorteil bringt.
Während der Angriffskampagne blieben diese Werte von Tausenden von Angriffsquellen statisch. Dies bedeutet, dass Sicherheitsexperten möglicherweise in der Lage sind, ähnliche Muster im Rahmen ihrer Signal-Rausch-Identifikation und des Signaturschreibens und/oder der Blockierung zu isolieren.
Proxys und Router
Während die HTTP-Header über die Dauer des Angriffs statisch blieben, waren die am Angriff beteiligten IPs recht gut verteilt. Bei näherer Betrachtung der Angriffsquellen scheint es sich bei einer Vielzahl der beteiligten IPs entweder um MikroTik-Geräte oder Server mit Proxyservices zu handeln. Sieht man sich die Proxyknoten an, wirken sie wie gesperrt, da sie zur Nutzung der Proxyfunktionen mindestens einen Nutzernamen und ein Kennwort benötigten. Dabei handelte es sich nicht um weit geöffnete Proxys im Internet, die jemand finden und leicht ausnutzen könnte. Ein gewisses Maß an Koordination zwischen dem Angreifer und dem Proxysystem war erforderlich, und höchstwahrscheinlich wurde der Zugriff auf ein bestehendes Proxy-Botnet ausgenutzt und wahrscheinlich gekauft.
Das Meris-Botnet
Da die Anzahl der MikroTik-Geräte in den Angriffsquellen identifiziert wurde, ging man davon aus, dass es sich um einen Angriff handelt, der vom MikroTik-basierten Meris-Botnet unterstützt wurde. Obwohl dies der Fall sein könnte, lässt sich diese Behauptung durch die Informationen, die während des Angriffs gesammelt wurden, nur schwer bestätigen oder widerlegen. Darüber hinaus schienen die nicht-MikroTik-Angriffsquellen im Laufe des Angriffs Proxyservices zu nutzen, die ähnlich gesichert waren wie das Meris-Botnet.
In der Vergangenheit wurde Meris ein ungemein hohes Ausmaß an DDoS-Angriffsfunktionen zugeschrieben. Frühere Angriffe umfassten Datenfluten von mehr als 2 Tbit/s mit mehr als 2 Millionen Anfragen pro Sekunde, wobei HTTP-Pipelining und anspruchsvollere Techniken genutzt wurden. Im Gegensatz dazu erreichte diese Kampagne einen Spitzenwert von ca. 15.000 Anfragen pro Sekunde (oder ca. 0,6 % des Spitzenwerts der Anfragen pro Sekunde) und wirkte dabei recht unausgereift.
Unbestritten bleibt, dass es sich bei einer Reihe von Quellen um MikroTik-Geräte handelte, die Angriffstraffic übermittelten. Diese Proxys auf diese Weise zu nutzen, erfordert Kenntnisse über den Nutzernamen und das Kennwort des Proxyservices. Es ist möglich, dass das Meris-Botnet „zum Verkauf“ steht. Es wäre nicht das erste schädliche Proxy-Netzwerk, das in Darknet verkauft wird. Es ist auch möglich, dass es sich um einen „Bring Your Own Botnet“-Deal handelt. In diesem Fall könnte es sich um einen Angriff handeln, der von Meris unterstützt und von einem Angreifer mit weniger ausgereiften oder expansiven Tools ausgeführt wurde.
Der typische Modus Operandi von REvil
Um darüber zu diskutieren, ob es sich um ein legitimes Comeback von REvil oder einen Nachahmer handelt, müssen wir untersuchen, was als Modus Operandi von REvil bekannt ist, und beide Situationen vergleichen und gegenüberstellen.
REvil hat sich in der Vergangenheit als RaaS-Gruppe erwiesen, die gegen Bezahlung Toolkits und Fachwissen bereitstellt, um erfolgreiche Ransomware-Angriffe auf Unternehmen durchzuführen. Dies ähnelt dem Vorgehen der Ransomware-Gruppe Conti, die wir ausführlich im vorherigen Beitrag vorgestellt haben.
Dieser Angriff scheint eine „neue“ Vorgehensweise der Gruppe darzustellen. Obwohl es einen Präzedenzfall gibt, in dem REvil, einen DDoS-Angriff als Mittel zu einer dreifachen Erpressung genutzt hat, unterscheidet sich diese Technik von ihrer üblichen Taktik. Die REvil-Gang ist ein RaaS-Anbieter, und in diesem Fall war keine Ransomware beteiligt. In der Regel würden sie Zugang zu einem Zielnetzwerk oder einem Unternehmen erhalten und vertrauliche Daten verschlüsseln oder stehlen. Das Ziel wäre dann, Zahlungen zu erpressen, um die Daten zu entschlüsseln oder eine Versteigerung von geleakten Daten an die Höchstbietenden zu verhindern oder mit der Veröffentlichung sensibler oder schädlicher Informationen drohen.
Außerdem scheint dieser Angriff politisch motiviert zu sein und mit einer kürzlich gefällten Rechtsentscheidung über das Geschäftsmodell des Zielunternehmens in Verbindung zu stehen. In der Vergangenheit hat REvil offen betont, dass die Gruppe rein profitorientiert sei: Die eskalierende Natur ihrer Angriffe umfasst die Zerstörung von Daten oder die angedrohte Veröffentlichung vertraulicher Informationen, die dem Unternehmen schaden könnte. Das alles in der Hoffnung, mit diesen Drohungen ein Nachgeben und eine Bezahlung zu erzwingen. REvil ist bisher mit keinem anderen gemeldeten Angriff mit politischen Kampagnen in Verbindung gebracht worden.
Es ist denkbar, dass REvil das Potenzial von DDoS-Erpressungen als profitables Geschäftsmodell austestet. Es ist allerdings wahrscheinlicher, dass wir es mit einer Neuauflage der Angstmacherei, die schon im Zusammenhang mit früheren DDoS-Erpressungskampagnen zum Einsatz kam, im Rahmen neuer Kampagnen zu tun haben. Von DD4BC bis Fancy Lazarus und nun REvil: Bei DDoS-Erpressung ist Angstmacherei das Mittel der Wahl. Und wie könnte man seine Opfer besser in Angst versetzen, als durch das Ausnutzen eines bekannten Gruppennamens, der bei Führungskräften von Unternehmen und Sicherheitsexperten vieler Industriezweige berüchtigt ist.
Fazit
Wenn eine Hackergruppe ihr Vorgehen ändert, könnte dies verschiedene Schlüsse zulassen: einen möglichen Wendepunkt hin zu einem neuen Geschäftsmodell, eine dramatische Veränderung ihrer Fähigkeiten, eine Spaltung der Gruppe, oder einen unbeteiligten Nachahmer, der den Hype dieser Gruppe ausnutzt, um schnelles Geld von ahnungslosen und sensiblen Opfern zu erpressen. Um welchen dieser Fälle es sich hier handelt, steht noch nicht zweifelsfrei fest. Wir möchten jedoch das Bewusstsein anderer Unternehmen schärfen, die diesen Techniken und Kampagnen ebenfalls zum Opfer fallen könnten. Vor allem da diese mögliche Rückkehr von REvil schon in den vergangenen Monaten für Schlagzeilen gesorgt hat.
Ziel des SIRT von Akamai ist es, neue Entdeckungen zu verfolgen, zu erkennen, zu dokumentieren und zu veröffentlichen, um die Sicherheit und Stabilität von Akamai, den Kunden von Akamai und dem gesamten Internet zu schützen. Wir werden diese Angriffe weiterhin überwachen und diesen Blog entsprechend aktualisieren.
