X
Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Dark background with blue code overlay

Blog

O retorno do REvil? Ou seriam imitadores?

Larry Cashdollar

escrito por

Larry Cashdollar

May 25, 2022

Larry Cashdollar

escrito por

Larry Cashdollar

Larry Cashdollar trabalha na área de segurança como pesquisador de vulnerabilidade há mais de 20 anos e atualmente é pesquisidor principal de segurança na equipe de resposta de inteligência de segurança da Akamai. Estudou Ciência da Computação na University of Southern Maine. Larry documentou mais de 300 CVEs e apresentou sua pesquisa no BotConf, BSidesBoston, OWASP Rhode Island e DEF CON. Ele gosta do ar livre e de reconstruir pequenos motores em seu tempo livre.

Resumo executivo

  • Os pesquisadores da Akamai vêm monitorando uma campanha DDoS (negação de serviço distribuída) contra um dos clientes da Akamai que alega estar associado ao infame grupo de RaaS (ransomware como serviço), o REvil.

  • Até o momento, esses ataques têm enviado uma onda de solicitações HTTP/2 GET por meio de técnicas de armazenamento em cache a um website para sobrecarregá-lo.

  • Essas solicitações contêm demandas incorporadas de pagamento, carteira de bitcoin (BTC) e demandas comerciais/políticas.

  • Em comparação com as campanhas similares anteriores que afirmavam serem lançadas pelo REvil, essas atuais tentativas parecem menores e com um propósito político associado à tentativa de extorsão, algo que não observamos anteriormente.

  • A atual carteira de BTC não possui histórico e não está vinculada a nenhuma carteira de BTC conhecida usada pela REvil em casos anteriores.

Introdução

O REvil, infame grupo de ransomware, é muito conhecido pela comunidade de segurança e por um bom motivo. Eles receberam mais visibilidade depois de serem creditados pelo ataque de ransomware contra a Kaseya em 2021e pelo ataque incapacitante contra a JBS no mesmo ano. O REvil foi supostamente desmantelado em março de 2022 pelo governo russo, que agiu em busca dos membros do REvil, e inclusive, apreendeu um dos membros responsáveis por lançar a campanha de afetou muito a Colonial Pipeline

Na última semana, a Equipe de Resposta de Inteligência de Segurança (SIRT) da Akamai foi informada de um ataque de Camada 7 a um de nossos clientes de hotelaria por um grupo que alega ser o REvil. Neste post, vamos explorar esse ataque e compará-lo com os ataques anteriores supostamente vinculados ao grupo REvil.

O ataque

Em 12 de maio de 2022, um cliente da Akamai alertou a equipe de SIRT sobre uma tentativa de ataque por um grupo que alega estar associado ao REvil. Começamos imediatamente a analisar os dados e fazer referência cruzada a nossos outros dados de ataque para ver se poderíamos confirmar ou contestar essa alegação. 

Tratava-se de um ataque DDoS coordenado, com pico de tráfego de 15 kRps, que consistia em uma simples solicitação HTTP GET. O caminho da solicitação continha uma mensagem de 554 bytes para a empresa exigindo pagamento. A mensagem ordenava a transferência de BTC a um endereço de carteira para que os ataques parassem. Houve também uma demanda geoespecífica adicional, solicitando que a empresa interrompesse as operações comerciais em todo o país. Se a empresa visada não cumprisse as demandas comerciais/políticas e não pagasse a extorsão no prazo desejado, um novo ataque seria feito, afetando as operações comerciais do cliente globalmente. 

Esta campanha seguiu um padrão semelhante divulgado publicamente pela Imperva,que incluiu a string "revil" no URL como parte da mensagem de extorsão direcionada às equipes de operações e executivos da empresa.

Detalhes do ataque e indicadores de comprometimento 

 

Armazenamento em cache

O caminho de solicitação que continha a demanda de extorsão era estático, mas também incluía uma string exclusiva de 8 caráteres gerada aleatoriamente anexada no final, além de uma string exclusiva de consulta de 8 caráteres adicionais. Essa é uma técnica comum de armazenamento em cache para tornar todas as solicitações exclusivas, de modo que ignorem o cache e resultem em uma solicitação que deve ser recuperada do servidor da Web de origem.

Cabeçalhos HTTP

Além disso, o cabeçalho da solicitação “Accept” (Aceitar) continha uma longa lista estática de tipos de mídia aceitos em todas as solicitações durante o ataque. Essa combinação e sua ordem, que é um tanto exclusiva, poderia ajudar na identificação de fontes de ataque durante um evento de ataque. 

"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"

Também vale a pena observar o cabeçalho da solicitação “User-Agent” (Agente de usuário). Durante todo o evento de ataque, uma única string estática de User-Agent sem variação foi observada em todas as fontes de ataque: 

"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"

Os cabeçalhos de solicitação HTTP GET também estão fora de ordem (em comparação com os padrões “comuns”), possivelmente indicando uma ferramenta de ataque DDoS desenvolvida sob medida. É possível que esses valores mudem entre as campanhas, então, escrever assinaturas para esses padrões pode não beneficiar os defensores do ponto de vista do IoC (indicador de comprometimento).

Durante essa campanha de ataque, esses valores permaneceram estáticos em milhares de fontes de ataque, o que significa que os defensores podem isolar padrões semelhantes como parte dos processos de bloqueio e/ou identificação da relação sinal-ruído e gravação de assinatura.

Proxies e roteadores

Embora os cabeçalhos HTTP tenham permanecido estáticos durante o ataque, os IPs envolvidos foram bem distribuídos. Ao analisarmos as fontes de ataque, uma grande parte dos IPs envolvidos pareciam ser dispositivos MikroTik ou servidores com serviços de proxy. Os nós do proxy pareciam estar, de certa forma, bloqueados, pois exigiam um nome de usuário e senha para utilizar os recursos de proxy. Esses proxies não eram os disponíveis abertamente pela Internet que alguém poderia encontrar e utilizá-los facilmente. Era necessário um certo nível de coordenação entre o invasor e o sistema de proxy. Provavelmente, o acesso a um botnet de proxy existente foi aproveitado e possivelmente, comprado.

O botnet Meris

Devido ao número de dispositivos MikroTik identificados nas fontes de ataque, havia uma suposição de que poderia ser um ataque suportado pelo botnet Meris baseado em MikroTik. Embora esse possa ser o caso, é difícil confirmar ou negar essa alegação com base nas informações coletadas durante o ataque. Além disso, as fontes de ataque que não eram MikroTik pareciam usar serviços de proxy, que foram protegidos de maneira semelhante aos usados pelos operadores Meris à medida que a campanha aumentava.

Historicamente, o Meris tem sido vinculado a níveis recorde e de crescimento de recursos de ataque DDoS. Os ataques anteriores causaram mais de 2 Tbps de inundação em mais de 2 mRps, utilizando o pipeline HTTP e técnicas mais avançadas. Por outro lado, essa campanha atingiu um pico de aproximadamente 15 kRps (ou ~0,6% do rps de pico relatado) e não parecia tão sofisticada. 

O fato é que várias fontes eram dispositivos MikroTik que serviam como proxy do tráfego de ataque, e exigiam conhecimento prévio do nome de usuário e da senha do serviço de proxy para utilizá-los dessa maneira. É possível que o botnet Meris esteja “à venda”. Não seria a primeira rede de proxy mal-intencionada à venda clandestinamente. Também é possível que se trate de um negócio de “criar o seu próprio botnet”. Nesse caso, poderiam ser ataques com suporte a Meris, lançado por um invasor que usa ferramentas menos avançadas ou expansivas.

O modus operandi típico do REvil

Para discutirmos se este é um retorno legítimo do REvil ou um imitador, devemos examinar o que sabemos do modus operandi do REvil para comparar e contrastar as duas situações.

Historicamente, o REvil tem atuado como um grupo RaaS que fornece kits de ferramentas e especialistas a fim de executar ataques de ransomware bem-sucedidos contra organizações. Isso é semelhante ao grupo de ransomware Conti que abordamos detalhadamente em uma publicação anterior.

Esse ataque parece ser um “novo” tipo de operação do grupo. Embora haja precedentes para o REvil utilizar DDoS como meio de extorsão tripla, essa técnica se distancia de suas táticas comuns. A gangue REvil é um provedor de RaaS e não há presença de ransomware nesse incidente. Normalmente, eles acessavam uma rede ou organização e criptografavam ou roubavam dados confidenciais. Então, eles exigiam pagamento para descriptografar ou impedir o vazamento de informações aos maiores concorrentes, ou ameaçavam a divulgação pública de informações confidenciais ou prejudiciais.  

Além disso, esse ataque parece ter motivação política e está relacionado a uma decisão legal recente sobre o modelo de negócios da empresa que foi o alvo. No passado, o REvil proclamou abertamente que agem visando lucro: A natureza dos ataques envolve a destruição de dados ou o vazamento de informações confidenciais, que poderiam ser prejudiciais a uma organização para forcá-los a colaborar e fazer o pagamento. Não vimos o REvil vinculado a campanhas políticas em nenhum outro ataque denunciado.

É possível que o REvil esteja sondando o terreno da extorsão DDoS como um modelo de negócios lucrativo, mas achamos mais provável que sejam táticas de intimidação associadas a campanhas anteriores de extorsão DDoS reutilizadas para uma nova rodada de campanhas. De DD4BC à Fancy Lazarus e agora, REvil, quando se trata de extorsão DDoS, as táticas de intimidação são a alma do negócio, e que melhor maneira de induzir uma vítima a pagar do que utilizar o nome de um grupo notável, que causa medo nas equipes de segurança e executivos de organizações em vários setores da indústria.

Conclusão

Um grupo de ameaças pode mudar suas técnicas por vários motivos, como por uma transformação para um novo modelo de negócios, causado por uma mudança drástico no conjunto de habilidades, por uma divisão de grupo ou por um imitador que não é afiliado tentando aproveitar o alarde desse grupo, a fim de conseguir dinheiro fácil de vítimas que costumam ser imediatistas e emocionalmente reativas. Ainda não está claro qual desses casos está ocorrendo no momento, mas queríamos conscientizar outras organizações que podem ser vítimas dessas técnicas e campanhas daqui para frente, especialmente porque esse possível retorno do REvil vem recebendo notoriedade desde o mês passado.

O objetivo do SIRT da Akamai é rastrear, detectar, documentar e publicar novas descobertas para proteger a segurança e a estabilidade da Akamai, dos seus clientes e da Internet como um todo. Continuaremos monitorando esses ataques e atualizando este blog. 

Larry Cashdollar

escrito por

Larry Cashdollar

May 25, 2022

Larry Cashdollar

escrito por

Larry Cashdollar

Larry Cashdollar trabalha na área de segurança como pesquisador de vulnerabilidade há mais de 20 anos e atualmente é pesquisidor principal de segurança na equipe de resposta de inteligência de segurança da Akamai. Estudou Ciência da Computação na University of Southern Maine. Larry documentou mais de 300 CVEs e apresentou sua pesquisa no BotConf, BSidesBoston, OWASP Rhode Island e DEF CON. Ele gosta do ar livre e de reconstruir pequenos motores em seu tempo livre.

Publicações de blog relacionadas

Qualquer sistema que regularmente experimente interrupções, fique offline ou possa ser facilmente sobrecarregado por um ataque sofisticado é completamente inútil.
Qualquer sistema que regularmente experimente interrupções, fique offline ou possa ser facilmente sobrecarregado por um ataque sofisticado é completamente inútil.
Segurança

Transferência, DDoS: É a era da negação de defesa distribuída (DDoD)

September 16, 2025
Ataques de DDoS sofisticados realizados por IA podem derrubar suas defesas mesmo com volume moderado. Esta é agora uma era de negação de defesa.
por Sven Dummer, Sandeep Rath, e Dennis Birchard
Leia mais
É importante utilizar uma abordagem multicamada para mitigar possíveis ataques e conter rapidamente qualquer um que ocorra.
É importante utilizar uma abordagem multicamada para mitigar possíveis ataques e conter rapidamente qualquer um que ocorra.
Blogs

Violação destaca vulnerabilidades de IA e APIs nas cadeias de fornecimento de software

September 04, 2025
As cadeias de fornecimento de software enfrentam vulnerabilidades que você pode não descobrir ao selecionar seu fornecedor principal. As proteções de segurança em camadas podem ajudar você a reduzir as violações.
por Christine Ross
Leia mais
Incidentes relacionados a APIs não são mais considerados problemas técnicos isolados. Eles são falhas de conformidade com consequências regulatórias.
Incidentes relacionados a APIs não são mais considerados problemas técnicos isolados. Eles são falhas de conformidade com consequências regulatórias.
Segurança

Segurança de API sob escrutínio federal: um alerta para CIOs

June 13, 2025
Saiba como adotar uma abordagem deliberada e estruturada para a segurança de APIs a fim de atender às crescentes regulamentações de conformidade e reduzir a exposição ao risco.
por Stas Neyman
Leia mais