REvil est-il de retour ? Ou est-ce un imitateur ?
Synthèse
Les chercheurs d'Akamai surveillent une campagne de déni de service distribué (DDoS) contre l'un des clients d'Akamai, dont les auteurs prétendent être associés au célèbre groupe de services de ransomware sur le modèle RaaS (ransomware as a service) REvil.
Pour le moment, les attaques ciblent un site en envoyant une vague de requêtes GET HTTP/2 avec quelques techniques de cache-busting pour submerger le site Web.
Les requêtes contiennent des demandes de paiement intégrées, un portefeuille de bitcoins (BTC) et des demandes politiques/commerciales.
L'ampleur de ces tentatives semble plus réduite que celle des précédentes campagnes du même type revendiquées par REvil et la tentative d'extorsion semble être associée à des fins politiques, chose que nous n'avons pas observée auparavant.
À l'heure actuelle, le portefeuille BTC n'a aucun passif et n'est lié à aucun portefeuille BTC connu utilisé par REvil.
Introduction
Le tristement célèbre groupe de ransomware REvil est bien connu dans la communauté de la sécurité, et pour cause. Il est arrivé sur le devant de la scène après qu'on lui a attribué l'attaque par ransomware de Kaseya en 2021.Il était également responsable de l'attaque qui a paralysé JBS la même année. REvil aurait été démantelé en mars 2022 par le gouvernement russe, qui a pris des mesures visant les membres du groupe, notamment en appréhendant celui qui avait aidé à lancer la campagne à l'origine de perturbations considérables contre Colonial Pipeline.
La semaine dernière, l'équipe SIRT (Security Intelligence Response Team) d'Akamai a été avertie d'une attaque de couche 7 contre l'un de nos clients du secteur de l'hôtellerie par un groupe prétendant être REvil. Dans cet article, nous allons explorer l'attaque et la comparer aux attaques précédentes soi-disant liées au groupe REvil.
L'attaque
Le 12 mai 2022, un client d'Akamai a alerté l'équipe SIRT d'une tentative d'attaque par un groupe prétendant être associé à REvil. Nous avons immédiatement commencé à analyser les données et à recouper nos autres données d'attaque pour voir si nous pouvions corroborer ou contester cette revendication.
Cette attaque était une attaque DDoS coordonnée, avec un pic de trafic de 15 krps, qui consistait en une simple requête HTTP GET dont le chemin incluait un message vers la cible de 554 octets exigeant un paiement. Le message ordonnait de transférer des bitcoins vers une adresse de portefeuille pour faire cesser les attaques. Une demande géospécifique supplémentaire exigeait aussi que la société ciblée cesse ses activités dans un pays tout entier. Si l'entreprise ciblée ne respectait pas les exigences commerciales/politiques et ne payait pas la somme demandée dans les délais indiqués, une autre attaque serait lancée et affecterait les opérations commerciales à l'échelle mondiale.
Cette campagne suivait un schéma similaire publié par Imperva, où la chaîne « revil » était incluse dans l'URL dans le cadre du message d'extorsion adressé aux équipes d'exploitation et aux cadres de l'entreprise ciblée.
Détails de l'attaque et indicateurs d'infection
Cache-busting
Le chemin de requête qui contenait la demande d'extorsion était statique, mais une chaîne de 8 caractères unique générée de manière aléatoire ainsi qu'une autre chaîne de requête de 8 caractères unique étaient accolées à la fin de ce chemin. Il s'agit d'une technique typique de mise en cache visant à rendre toutes les requêtes uniques afin qu'elles contournent la mise en cache et génèrent une requête qui doit être récupérée sur le serveur Web d'origine.
En-têtes HTTP
En outre, l'en-tête de requête « Accept » contenait une longue liste statique de types de supports acceptés pour toutes les requêtes pendant l'attaque. Cette combinaison et l'ordre des éléments, qui est assez singulier, pourraient faciliter l'identification des sources d'attaque pendant une attaque.
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
Il convient également de noter l'en-tête de la requête User-Agent. Tout au long de l'attaque, une seule chaîne User-Agent statique sans variation a été observée dans toutes les sources d'attaque :
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
Les en-têtes de requête HTTP GET sont également hors service (par rapport aux schémas « typiques »), ce qui pourrait indiquer un outil d'attaque DDoS personnalisé. Ces valeurs peuvent changer d'une campagne à l'autre. Se contenter de rédiger des signatures pour ces schémas ne serait donc pas forcément bénéfique pour les défenseurs du point de vue des indicateurs d'infection.
Au cours de cette campagne d'attaque, ces valeurs sont restées statiques à partir de milliers de sources d'attaque, ce qui signifie que les défenseurs pourraient être en mesure d'isoler des schémas similaires dans le cadre de leurs processus d'identification signal sur bruit et d'écriture et/ou de blocage des signatures.
Proxys et routeurs
Alors que les en-têtes HTTP restaient statiques pendant toute l'attaque, les adresses IP participant à celle-ci étaient plutôt bien distribuées. L'examen approfondi des sources d'attaque montre qu'une large partie des adresses IP participantes semblait être soit des terminaux MikroTik, soit des serveurs dotés de services de proxy. Les nœuds proxy semblaient être plus ou moins verrouillés, car ils nécessitaient au moins un nom d'utilisateur et un mot de passe pour exploiter les capacités de proxy. Il ne s'agissait pas de proxys ouverts sur Internet que n'importe qui pouvait trouver et utiliser par hasard ; un certain niveau de coordination était nécessaire entre l'attaquant et le système de proxy, et il est très probable que les pirates aient acheté et exploitaient l'accès à un botnet de proxy existant.
Le botnet Meris
Le nombre de terminaux MikroTik identifiés dans les sources d'attaque laisse penser qu'il pourrait s'agir d'une attaque soutenue par le botnet Meris basé sur MikroTik. Bien que cela soit possible, il est difficile de le confirmer ou de le réfuter en se basant sur les informations recueillies au cours de l'attaque. De plus, les sources d'attaque hors MikroTik semblaient utiliser des services de proxy sécurisés de manière similaire à ce que nous avons observé chez les opérateurs Meris au fur et à mesure de l'évolution de la campagne.
Meris a toujours été associé à des niveaux considérables, voire record, de capacités d'attaque DDoS. Les attaques précédentes présentaient des floods de plus de 2 Tbit/s à plus de 2 Mrps, exploitant le pipeline HTTP et des techniques plus sophistiquées. En revanche, cette campagne a atteint un pic d'environ 15 krps (soit environ 0,6 % des rps de pointe signalés) et semblait assez peu sophistiquée.
Le fait est qu'un certain nombre de sources étaient des terminaux MikroTik qui servaient de proxys au trafic d'attaque, et que ces derniers nécessitaient de connaître au préalable le nom d'utilisateur et le mot de passe appliqués au service de proxy pour pouvoir les exploiter de cette manière. Il est possible que le botnet Meris soit « à vendre », car en effet, il ne serait pas le premier réseau proxy malveillant à vendre sur les marchés clandestins. Il est également possible qu'il s'agisse d'un accord du type « bring your own botnet » (apportez votre propre botnet). Dans ce cas, il pourrait s'agir d'une attaque prise en charge par Meris, lancée par un pirate à l'aide d'outils moins sophistiqués ou plus étendus.
Le mode opératoire typique de REvil
Pour déterminer s'il s'agit d'un retour légitime de REvil ou d'un imitateur, nous devons examiner les éléments connus qui constituent le mode opératoire de REvil, puis comparer et opposer les deux situations.
REvil a toujours agi en tant que groupe RaaS qui vend des outils et une expertise pour exécuter des attaques de ransomware réussies contre des entreprises. Ce fonctionnement est similaire à celui du groupe ransomware Conti que nous avons abordé en détail dans un article précédent.
Cette attaque semble être un « nouveau » type d'opération pour le groupe. Bien que par le passé REvil ait déjà utilisé le DDoS comme un moyen de triple extorsion, cette technique s'éloigne de leurs tactiques habituelles. Le gang REvil est un fournisseur de services RaaS, et cet incident ne comporte aucun ransomware. En général, le groupe accède à un réseau ou une entreprise cible et chiffre ou vole des données sensibles, puis exige un paiement pour les déchiffrer ou empêcher la fuite d'informations aux plus offrants, ou encore menace la divulgation publique d'informations sensibles ou préjudiciables.
En outre, cette attaque semble avoir des motivations politiques et être liée à une décision juridique récente concernant le modèle commercial de l'entreprise ciblée. Dans le passé, REvil a ouvertement déclaré que ses activités avaient uniquement un but lucratif : ses attaques toujours plus puissantes incluent la destruction de données ou la promesse de diffusion d'informations sensibles susceptibles de causer un préjudice à l'organisation, avec l'espoir que ces menaces contraignent la victime à obéir et à payer. REvil n'a jamais été lié à des campagnes politiques dans les autres attaques précédemment signalées.
Il est possible que REvil tâte le terrain pour déterminer si l'extorsion par DDoS est un modèle commercial rentable, toutefois il est plus probable que ce que nous observons soit un recyclage des tactiques d'intimidation associées aux précédentes campagnes d'extorsion par DDoS recyclées pour une nouvelle série de campagnes. De DD4BC à Fancy Lazarus puis REvil, les tactiques d'intimidation sont la base de l'extorsion par DDoS. Et quelle meilleure façon de faire peur à votre victime qu'en exploitant le nom d'un groupe renommé qui fait trembler les cadres et les équipes de sécurité des entreprises dans de larges pans du secteur ?
Conclusion
Lorsqu'un groupe de cybercriminels change de techniques, cela peut indiquer une transition vers un nouveau modèle commercial, le résultat d'un changement radical de ses compétences ou une scission au sein du groupe. Cependant, il peut aussi s'agir d'un imitateur sans lien avec le groupe qui tente de tirer parti du battage médiatique de celui-ci pour gagner facilement de l'argent, en extorquant des victimes qui agissent sous le coup de la panique sans réfléchir sur le long terme. Ici, la réponse n'est pas tout à fait claire, mais nous souhaitions sensibiliser les organisations qui pourraient être victimes de ces techniques et de ces campagnes à l'avenir, notamment car le retour potentiel de REvil a fait les gros titres du mois dernier.
L'objectif de l'équipe SIRT d'Akamai est de suivre, détecter, documenter et publier de nouvelles découvertes afin de protéger la sécurité et la stabilité d'Akamai, de ses clients et d'Internet dans son ensemble. Nous continuerons à surveiller ces attaques et à mettre à jour ce blog en conséquence.
