La ripresa degli attacchi REvil? O gruppi di imitatori?

Analisi riassuntiva

• I ricercatori Akamai hanno monitorato una campagna di attacchi DDoS (Distributed Denial of Service) sferrati contro uno dei clienti di Akamai e associati con il famigerato gruppo RaaS (Ransomware-as-a-Service) noto con il nome di REvil.

• Finora, gli attacchi hanno preso di mira un sito inviando un'ondata di richieste HTTP/2 GET con alcune tecniche cache-busting che mirano a sovraccaricarlo.

• Le richieste contengono domande di pagamento, un wallet di bitcoin (BTC), e domande di natura politico-commerciale.

• I tentativi sembra di portata più piccola rispetto a quelli di precedenti campagne simili che affermano di essere state lanciate dal gruppo REvil e associate a scopi politici con tentativo di estorsione: una modalità mai osservata prima d'ora.

• Attualmente, il wallet BTC non ha precedenti e non è legato ad alcun wallet BTC già noto e utilizzato da REvil.

Introduzione

Il famigerato gruppo ransomware noto con il nome di REvil è ben conosciuto all'interno della community della sicurezza e per buoni motivi. Questo gruppo è stato portato alla ribalta dopo l'attacco di ransomware Kaseya avvenuto nel 2021; nello stesso anno, il gruppo aveva anche sferrato un attacco che ha paralizzato JBS . Il gruppo REvil è stato smantellato, a quanto pare, a marzo 2022 dal governo russo, che ha intrapreso azioni contro alcuni membri del gruppo, incluso l'arresto del responsabile di una campagna di attacchi estremamente dannosi sferrati contro Colonial Pipeline. 

La scorsa settimana, l'Akamai Security Intelligence Response Team (SIRT) ha riferito di aver osservato un attacco di livello 7 sferrato contro una struttura sanitaria da un gruppo che dichiara di chiamarsi con il nome di REvil. Il post intende esaminare questo attacco e confrontarlo con attacchi precedenti che sembra siano collegati al gruppo REvil.

L'attacco

Il 12 maggio 2022, un ricercatore Akamai ha avvisato il team SIRT del tentativo di un attacco sferrato da un gruppo che dichiara di essere associato a REvil. Abbiamo immediatamente iniziato ad analizzare i dati e a metterli in riferimento con altri dati sugli attacchi per vedere se potevamo confermare o confutare questa dichiarazione. 

Si è trattato di un attacco DDoS consolidato con un picco di traffico pari a 15 kRps, che consisteva in una semplice richiesta HTTP GET in cui il percorso della richiesta conteneva un messaggio di 554 byte inviato a scopo di estorsione. Nel messaggio, si diceva che, per far fermare gli attacchi, BTC doveva essere trasferito all'indirizzo di un wallet. C'era anche un'ulteriore domanda specifica per l'area geografica, che richiedeva alla società presa di mira di cessare le attività aziendali in un intero paese. Se la società non avesse seguito le richieste politico-commerciali senza pagare la somma concordata entro il tempo stabilito, il gruppo minacciava di sferrare un successivo attacco che avrebbe influito sulle attività aziendali a livello globale. 

Questa campagna ha seguito un modello simile, come riferito pubblicamente da Imperva, che includeva la stringa "revil" nell'URL come parte del messaggio inviato a scopo di estorsione ai team operativi e ai dirigenti della società presa di mira.

Dettagli degli attacchi e indicatori di compromesso 

Cache-busting

Il percorso della richiesta che conteneva la domanda di estorsione era statico, ma includeva anche una stringa univoca generata casualmente e costituita da 8 caratteri, che era stata aggiunta alla fine della domanda, oltre ad un'ulteriore stringa di query costituita da 8 caratteri. Si tratta di una tipica tecnica di cache-busting utilizzata allo scopo di rendere univoche tutte le richieste effettuate in modo da bypassare il caching e determinare una richiesta che deve essere recuperata dal server web di origine.

Intestazioni HTTP

L'intestazione della richiesta di accettazione conteneva un lungo elenco statico di tipi di contenuti multimediali accettati in tutte le richieste durante l'attacco. Questa combinazione e il relativo ordine univoco potevano potenzialmente assistere nel fingerprinting delle sorgenti degli attacchi. 

"Accetta": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"

Degna di nota è anche l'intestazione della richiesta User-Agent. Durante la campagna, da tutte le sorgenti degli attacchi è stata osservata la presenza di una sola stringa User-Agent statica senza variazioni: 

"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/101.0.4951.54 Safari/537.36"

Anche le intestazioni della richiesta HTTP GET erano fuori sequenza (se confrontate con gli schemi "tipici"), a indicare potenzialmente uno strumento di attacco DDoS appositamente sviluppato. È possibile che questi valori potranno cambiare da una campagna all'altra, pertanto firmando questi schemi gli autori dell'attacco potrebbero non trarre vantaggio da un indicatore di compromissione (IOC).

Durante questa campagna di attacchi, questi valori sono rimasti statici da migliaia di sorgenti degli attacchi, a indicare che i criminali potrebbero riuscire a isolare schemi simili come parte dei loro processi di identificazione segnale-disturbo e di firma e/o blocco.

Proxy e router

Anche se le intestazioni HTTP sono rimaste statiche durante l'attacco, gli IP che hanno partecipato all'attacco sono stati ben distribuiti. Analizzando le sorgenti degli attacchi, molti degli IP partecipanti sembravano dispositivi o server MikroTik con servizi di inoltro dati. I nodi del proxy, se esaminati, sembravano bloccati poiché richiedevano almeno un nome utente e una password per l'utilizzo delle funzionalità di inoltro dati. Non si trattava di proxy aperti su Internet da poter individuare e sfruttare alla cieca; era richiesto un certo livello di coordinazione tra l'autore degli attacchi e il sistema di inoltro dati e l'accesso ad una botnet di inoltro dati esistente era perlopiù utilizzato e acquistato.

La botnet Meris

Visto il numero di dispositivi MikroTik identificati nelle sorgenti degli attacchi, si è pensato che poteva trattarsi di un attacco supportato dalla botnet Meris basata su MikroTik. Anche in tal caso, è difficile confermare o negare questa affermazione sulla base delle informazioni raccolte durante gli attacchi. Inoltre, sembra che le sorgenti degli attacchi non MikroTik utilizzassero servizi di inoltro dati protetti in modo simile a quanto osservato con gli operatori della botnet Meris nell'evoluzione della campagna.

Storicamente, la botnet Meris è stata collegata a livelli record di funzionalità di attacchi DDoS. Negli attacchi precedenti, si sono registrati più di 2 Tbps di flussi che procedevano ad una velocità superiore a 2 mRps, sfruttando il pipelining HTTP e altre tecniche più sofisticate. Per contro, questa campagna ha raggiunto, al confronto, un picco di circa 15 kRps (pari a ~0,6% del picco registrato in rps) ed è sembrata meno sofisticata. 

In realtà, un numero di sorgenti degli attacchi è stato rappresentato da dispositivi MikroTik con funzionalità di inoltro del traffico degli attacchi come proxy, che richiedevano la conoscenza del nome utente e della password applicati al servizio di inoltro dati per poterli utilizzare in questo modo. La botnet Meris è, probabilmente, "in vendita" e non sarebbe la prima rete proxy dannosa messa in vendita su siti illegali. È anche possibile che si tratti di un approccio di tipo BYOB (Bring Your Own Botnet). In tal caso, potremmo assistere ad un attacco supportato da Meris e sferrato da un criminale con strumenti meno sofisticati o di vasta portata.

Il tipico modus operandi del gruppo REvil

Per discutere del fatto che si tratti di una legittima ripresa del gruppo REvil o di un gruppo di imitatori, dobbiamo esaminare cosa sappiamo del modus operandi del gruppo Revil e mettere a confronto le due situazioni.

Il gruppo REvil ha storicamente agito da gruppo RaaS fornendo gli strumenti e le competenze necessari per sferrare attacchi ransomware contro le aziende. Questo approccio è simile al gruppo ransomware Conti di cui abbiamo discusso in modo molto approfondito in un post precedente.

Questo attacco sembra essere un "nuovo" tipo di operazione condotta dal gruppo. Mentre in precedenza il gruppo REvil ha utilizzato gli attacchi DDoS come mezzo per richiedere una tripla estorsione, questa tecnica si allontana dalla sua normale tattica. Il gruppo REvil è un provider RaaS e non si sono registrati attacchi ransomware in questo evento. Di solito, il gruppo riesce ad accedere alla rete o all'organizzazione presa di mira e a crittografare o rubare i dati sensibili, richiedendo una somma per decrittografarli o per impedire una fuga di informazioni ai migliori offerenti oppure minacciando di divulgare pubblicamente informazioni sensibili o dannose.  

Inoltre, questo attacco sembra essere politicamente motivato e correlato ad un recente decisione legale sul modello aziendale della società presa di mira. In passato, il gruppo REvil ha dichiarato apertamente di farsi guidare puramente dal profitto: La natura dei loro attacchi include la distruzione dei dati o la promessa di divulgare informazioni sensibili che potrebbero danneggiare un'organizzazione nella speranza di forzare il pagamento richiesto con queste minacce. Il gruppo REvil non sembrava essere collegato a campagne politiche in altri attacchi segnalati in precedenza.

Il gruppo REvil potrebbe provare l'estorsione DDoS come modello aziendale redditizio, ma è più probabile che la sua tattica venga associata a precedenti campagne di estorsione DDoS riciclate come nuove campagne. Dal DD4BC a Fancy Lazarus , ora REvil, quando si tratta di estorsione DDoS, la tattica migliore per spaventare la vittima e costringerla a pagare è assumere il nome di un gruppo famoso che semina terrore nei team addetti alla sicurezza e nei dirigenti delle organizzazioni in vari settori.

Conclusione

Quando un gruppo di criminali cambia le sue tecniche, potrebbe adottare un nuovo modello aziendale o modificare drasticamente le sue competenze, potrebbe verificarsi una scissione nel gruppo o alcuni imitatori non affiliati potrebbero tentare di utilizzare la notorietà del gruppo per estorcere denaro facilmente alle vittime emozionalmente reattive e avventate. Quale di questi casi stiamo qui analizzando non è ancora chiaro a questo punto, tuttavia desideriamo sollevare la questione per impedire ad altre organizzazioni di cadere vittima di queste tecniche e campagne in futuro, specialmente perché questa potenziale ripresa degli attacchi REvil ha occupato la scena dei media lo scorso mese.

L'obiettivo del SIRT di Akamai è monitorare, rilevare, documentare e pubblicare le nuove scoperte per proteggere la sicurezza e la stabilità di Akamai, dei suoi clienti e di Internet nel complesso. Continueremo a monitorare questi attacchi e ad aggiornare di conseguenza questo blog.