Detener Revil: cómo Illumio puede interrumpir uno de los grupos de ransomware más prolíficos

Los grupos de ransomware van y vienen. Pero pocos tienen el reconocimiento de nombre de ReVil. También conocido como Sodinokibi, el grupo y sus afiliados han sido responsables de algunas de las brechas más audaces de los últimos 12-18 meses. Estos incluyen incursiones en un bufete de abogados de celebridades y un gigante de procesamiento de carne, que le dio a los atacantes 11 millones de dólares. Otras campañas notables incluyen ataque sofisticado a la empresa de software de TI Kaseya y el compromiso del fabricante taiwanés y cliente de Apple Cuanta Computadora.

Estos dos últimos destacan por sus escandalosas demandas de rescate, 70 millones de dólares y 50 millones de dólares, respectivamente. Pero también porque explotaron las cadenas de suministro mundiales, aunque de diferentes maneras, para avanzar en sus objetivos.

Y mientras que Revil ha sido interrumpido recientemente por detenciones y sanciones, el grupo es según se informa operaciones continuadas. La buena noticia es que con Illumio a la mano para mapear, monitorear y bloquear conexiones de red de alto riesgo, puede mitigar la amenaza ReVil, y la de cualquier iteración que siga si el grupo finalmente desaparece.

¿Por qué son peligrosos los ataques a la cadena de suministro?

Los ataques de ransomware en la cadena de suministro son peligrosos porque pueden interrumpir toda la red de negocios interconectados. Estos ataques pueden detener la producción, retrasar las entregas y causar pérdidas financieras significativas.

Además, pueden conducir a violaciones de datos, exponiendo información confidencial en múltiples organizaciones, lo que socava la confianza y daña la reputación.

La interdependencia dentro de las cadenas de suministro significa que un ataque a una entidad puede tener un efecto en cascada, impactando a muchos otros negocios y potencialmente llevando a consecuencias económicas generalizadas.

El allanamiento de abril de 2021 en Quanta Computer fue inteligente. Como socio clave de fabricación por contrato para Apple, tiene acceso a algunos planos altamente sensibles y a la propiedad intelectual de los productos. También, calculó Revil, podría estar menos bien protegido que el gigante tecnológico de Cupertino.

Cuando Quanta se negó a pagar, el grupo fue a Apple a exigir el rescate, o de lo contrario filtrarían o venderían los documentos robados. No sabemos si tuvieron éxito, pero todos los datos relacionados con la redada fue subsecuentemente eliminado del sitio de fugas de ReVil, según reportes.

¿Qué nos dice este incidente? En primer lugar, su organización puede convertirse en ransomware/Revil target si realiza negocios con asociados de negocios de alto valor. Y segundo, solo estás tan seguro como tus proveedores menos seguros.

¿Cómo funciona ReVil?

El ataque Quanta en sí contenía algunos elementos únicos. Pero el patrón amplio —explotar software o servicios vulnerables y orientados hacia el exterior— se ha utilizado en innumerables campañas.

En este caso, REvil se dirigió a una vulnerabilidad en el software Oracle WebLogic. Esto permitió a los actores de amenazas obligar a un servidor comprometido a descargar y ejecutar malware sin ninguna acción del usuario. Hubo dos etapas principales:

1. Los atacantes hicieron una conexión HTTP a un servidor WebLogic sin parches, luego lo obligaron a descargar la variante de ransomware Sodinokibi. Utilizaron un comando de PowerShell para descargar un archivo llamado “radm.exe” de direcciones IP maliciosas, y luego obligaron al servidor a guardar el archivo localmente y ejecutarlo.
2. Los atacantes intentaron cifrar los datos en el directorio del usuario e interrumpir la recuperación de datos eliminando “copias ocultas” de los datos cifrados que Windows crea automáticamente.

¿Cómo puedes detener a Revil?

Una buena higiene cibernética, como la pronta revisión de endpoints de alto riesgo, puede ayudar a reducir la superficie de ataque para las organizaciones. Pero más allá de esto, se pueden tomar medidas más integrales a nivel de red.

Las organizaciones deben comprender que incluso los canales de confianza y el software de terceros pueden convertirse en un conducto para el malware y el ransomware. Mitigar este riesgo requiere segmentar cualquier solución lista para usar del resto del entorno, especialmente herramientas de seguridad como la detección y respuesta de puntos finales (EDR) y la detección y respuesta extendidas (XDR).

Las empresas también deben considerar identificar y restringir cualquier conexión saliente no esencial. Eso significa bloquear todo excepto las comunicaciones a IP de destino autorizadas, incluso en los puertos 80 y 443. Esto interrumpirá a los actores de amenazas que intentan “llamar a casa” a los servidores de comando y control (C&C) con el fin de descargar herramientas adicionales para progresar los ataques. También bloqueará los intentos de exfiltrar datos fuera de la organización a servidores bajo su control.

Cómo puede ayudar Illumio

Illumio es avanzado Tecnología de segmentación de confianza cero ofrece administración de políticas escalable y sin esfuerzo para proteger los activos críticos y aislar el ransomware. Illumio permite a los equipos de seguridad obtener visibilidad de los flujos de comunicación y las vías de alto riesgo. Luego, imponemos un control completo de segmentación hasta el nivel de carga de trabajo para reducir drásticamente su superficie de ataque y minimizar el impacto del ransomware.

En tres sencillos pasos, Illumio puede proteger a su organización de ransomware como ReVil:

1. Mapear todas las comunicaciones salientes esenciales y no esenciales
2. Implementar políticas rápidamente para restringir las comunicaciones a escala
3. Supervisar las conexiones salientes que no se pueden cerrar
   

Para obtener más orientación sobre las mejores prácticas sobre la creación de resiliencia frente al ransomware:

• Lea nuestro ebook, Cómo detener los ataques de ransomware
• Descargue la infografía, 3 pasos para detener el ransomware
• Inscribirse para La experiencia Illumio laboratorios prácticos para ver por ti mismo la visibilidad basada en el riesgo de Illumino y las capacidades de Segmentación de Confianza Cero