¿Resurgimiento de REvil? ¿O un imitador?
Resumen ejecutivo
Los investigadores de Akamai han estado vigilando una campaña de denegación de servicio distribuido (DDoS) contra uno de los clientes de Akamai que se afirma que está asociada con el tristemente célebre grupo de ransomware como servicio (RaaS), REvil.
Los ataques hasta ahora se dirigen a un sitio mediante el envío de una oleada de solicitudes HTTP/2 GET con algunas técnicas de “cache busting” para saturar el sitio web.
Las solicitudes contienen demandas integradas de pago, una cartera de bitcoin (BTC) y demandas comerciales/políticas.
Los intentos parecen más pequeños que en campañas similares anteriores supuestamente lanzadas por REvil y parecen tener un propósito político asociado con el intento de extorsión, algo que no habíamos observado anteriormente.
La cartera de BTC no tiene actualmente ningún historial y no está vinculada a ninguna cartera de BTC previamente utilizada por REvil.
Introducción
El tristemente célebre grupo de ransomware REvil es muy conocido entre la comunidad del sector de la seguridad y por una buena razón. Se colocaron en el centro de atención después que se les atribuyera el ataque de ransomware Kaseya en 2021; también fueron responsables del devastador ataque a JBS del mismo año. REvil fue supuestamente desmantelado en marzo de 2022 por parte del gobierno ruso, que tomó medidas dirigidas a los miembros de REvil, incluida la detención de uno de los miembros responsables de ayudar a lanzar la increíblemente destructiva campaña contra Colonial Pipeline.
En la última semana, se informó al equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai de un ataque de capa 7 a uno de nuestros clientes de hostelería por un grupo que afirma ser REvil. En esta publicación, vamos a analizar el ataque y a compararlo con ataques anteriores supuestamente relacionados con el grupo REvil.
El ataque
El 12 de mayo de 2022, un cliente de Akamai alertó al equipo de SIRT de un intento de ataque por parte de un grupo que afirma estar asociado con REvil. Inmediatamente comenzamos a analizar los datos y a cruzarlos con otros datos sobre ataques para ver si podíamos corroborar o poner en duda esta reivindicación.
Este ataque fue un ataque DDoS coordinado, con un pico de tráfico de 15 kRps, que consistió en una solicitud HTTP GET sencilla en la que la ruta de solicitud contenía un mensaje al destino que incluía un mensaje de 554 bytes que exigía un pago. El mensaje indicaba que, para que los ataques cesaran, se tenían que transferir BTC a una dirección de cartera. También hubo una demanda geoespecífica adicional en la que se solicitaba a la empresa atacada que dejara de realizar operaciones comerciales en todo un país. Si la empresa atacada no cumplía con las demandas comerciales/políticas y no pagaba la extorsión en el plazo deseado, se la amenazaba con un ataque de seguimiento que afectaría a sus operaciones comerciales a nivel mundial.
Esta campaña seguía un patrón similar a la públicamente notificada por Imperva, que incluía la cadena “revil” en la URL como parte del mensaje de extorsión dirigido a los equipos de operaciones y a los ejecutivos de la empresa atacada.
Detalles del ataque e indicadores de compromiso
Cache busting
La ruta de solicitud que contenía la demanda de extorsión era estática, pero también incluía una cadena única de 8 caracteres generada al azar y anexada al final de la misma, así como una cadena de consulta única adicional de 8 caracteres. Esta es la típica técnica de “cache busting” en un esfuerzo por hacer que todas las solicitudes sean únicas, de modo que no se puedan almacenar en caché y se genere una solicitud que se deba recuperar desde el servidor web de origen.
Encabezados HTTP
Además, el encabezado de solicitud “Aceptar” contenía una larga lista estática de tipos de medios aceptados en todas las solicitudes durante el ataque. Esta combinación y su orden, que es en cierto modo único, podrían ayudar a tomar las huellas dactilares de las fuentes del ataque durante el mismo.
"Aceptar": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
También es digno de mención el encabezado de solicitud de Usuario-Agente. Durante el ataque, se observó una única cadena estática Agente-Usuario sin variación proveniente de todas las fuentes de ataque:
"Usuario-Agente": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/101.0.4951.54 Safari/537.36"
Los encabezados de solicitud HTTP GET también están fuera de lo normal (en comparación con los patrones “típicos”), lo que posiblemente es indicativo de una herramienta de ataque DDoS desarrollada a medida. Es posible que estos valores cambien entre campañas, por lo que simplemente generar firmas para estos patrones podría no beneficiar a los defensores desde un punto de vista del indicador de compromiso (IoC).
Durante esta campaña de ataque, estos valores permanecieron estáticos desde miles de fuentes de ataque, lo que significa que los defensores podrían ser capaces de aislar patrones similares como parte de su identificación de señal a ruido y los procesos de bloqueo y/o generación de firmas.
Proxies y routers
Si bien los encabezados HTTP permanecieron estáticos durante el ataque, las IP que participaron en el mismo estaban bastante bien distribuidas. Si nos adentramos en las fuentes del ataque, una gran parte de las IP participantes parecían ser dispositivos MikroTik o servidores con servicios de proxy. Al observar los nodos proxy, parecían estar en cierto modo bloqueados, ya que requerían al menos un nombre de usuario y una contraseña para aprovechar las capacidades de proxy. No se trataba de proxies totalmente abiertos en Internet que alguien podía encontrar y aprovechar a ciegas; se requería cierto nivel de coordinación entre el atacante y el sistema de proxy, y lo más probable es que se aprovechara y comprara el acceso a una botnet de proxys existente.
La botnet Meris
Con la cantidad de dispositivos MikroTik identificados en las fuentes de ataque, se supuso que podría tratarse de un ataque respaldado por la botnet basada en MikroTik Meris. Aunque este podría ser el caso, es difícil confirmar o rechazar esta afirmación en función de la información recopilada durante el ataque. Además, las fuentes de ataque no basadas en MikroTik parecieron utilizar servicios de proxy asegurados de una manera similar a lo que hemos visto que utilizaron los operadores de Meris a medida que evolucionaba la campaña.
Históricamente, se ha vinculado a Meris con los niveles catastróficos y de récord de las capacidades de los ataques DDoS. En los ataques anteriores se han observado inundaciones de más de 2 Tbps simultáneamente en más de 2 mRps, aprovechando las canalizaciones HTTP y técnicas más sofisticadas. Por el contrario, y comparativamente, esta campaña tuvo un pico de aproximadamente 15 kRps (o ~0,6 % del pico rps notificado) y parecía bastante poco sofisticada.
El hecho es que una serie de fuentes eran dispositivos MikroTik que estaban haciendo de proxies del tráfico del ataque, y esos proxies requerían el conocimiento previo del nombre de usuario y la contraseña aplicados al servicio de proxy para poder aprovecharlos de esta manera. Es posible que el botnet Meris esté “a la venta”; no sería la primera red de proxy maliciosa clandestinamente a la venta. También es posible que se trate de un acuerdo de “traiga su propia botnet”. En ese caso, podríamos estar viendo un ataque basado en Meris, lanzado por un atacante con herramientas menos sofisticadas o expansivas.
El modus operandi típico de REvil
Con el fin de analizar si se trata de una resurgimiento genuino de REvil o de un imitador, debemos analizar lo que se sabe del modus operandi de REvil y comparar y contrastar ambas situaciones.
REvil ha actuado históricamente como un grupo de RaaS que permite contratar las herramientas y la experiencia para ejecutar ataques de ransomware con éxito contra las organizaciones. Es similar al grupo de ransomware Conti que analizamos en gran detalle en una publicación anterior.
Este ataque parece ser un “nuevo” tipo de operación para el grupo. Aunque hay precedentes en los que REvil utilizó DDoS como medio de triple extorsión, esta técnica se desvía de sus tácticas habituales. La banda REvil es un proveedor de RaaS y no hay presencia de ransomware en este incidente. Normalmente, obtendrían acceso a una red u organización objetivo y cifrarían o robarían datos confidenciales, exigiendo el pago para descifrar o evitar la fuga de información a los mejores postores o amenazando con la divulgación pública de información sensible o nociva.
Además, este ataque parece tener en cierto modo motivaciones políticas y estar relacionado con una reciente decisión legal sobre el modelo de negocio de la empresa atacada. En el pasado, REvil ha proclamado abiertamente que están estrictamente impulsados por las ganancias: la naturaleza intensificadora de sus ataques incluye la destrucción de datos o la prometida divulgación de información confidencial que podría ser perjudicial para una organización, con la esperanza de que esas amenazas obliguen al cumplimiento y al pago. No hemos visto que REvil estuviera vinculado con campañas políticas en ningún otro ataque notificado anteriormente.
Es posible que REvil esté explorando las aguas de la extorsión DDoS como un modelo de negocio rentable, pero creemos que es más probable que estemos ante tácticas del miedo asociadas con anteriores campañas de extorsión DDoS recicladas para una nueva ronda de campañas. Desde DD4BC a Fancy Lazarus y ahora REvil, cuando se trata de la extorsión DDoS, las tácticas del miedo es a lo que se está jugando, y qué mejor manera de asustar a la víctima para que pague que aprovechar el nombre de un grupo conocido y que meta el miedo en el cuerpo a los ejecutivos de las organizaciones y a los equipos de seguridad de una amplia gama de sectores.
Conclusión
Cuando un grupo de amenazas cambia sus técnicas, podría tratarse de un posible movimiento hacia un nuevo modelo de negocio, el resultado de un cambio drástico en sus habilidades, una escisión dentro del grupo o un imitador no asociado que intenta aprovechar el tirón de ese grupo para conseguir dinero fácil de unas víctimas cortas de vista y que reaccionan emocionalmente. No queda exactamente claro en este punto ante cuáles de estos casos nos encontramos aquí, pero queríamos concienciar a otras organizaciones que podrían ser víctimas de estas técnicas y campañas en el futuro, especialmente porque este posible resurgimiento de REvil ha aparecido en los titulares durante el último mes.
El objetivo de Akamai SIRT es rastrear, detectar, documentar y publicar nuevos descubrimientos para proteger la seguridad y la estabilidad de Akamai, a sus clientes y a Internet en su conjunto. Seguiremos vigilando estos ataques y actualizaremos este blog en consecuencia.
