Detener REvil: cómo Illumio puede interrumpir uno de los grupos de ransomware más prolíficos

Los grupos de ransomware van y vienen. Pero pocos tienen el reconocimiento de REvil. También conocido como Sodinokibi, el grupo y sus afiliados fueron responsables de algunas de las infracciones más audaces de los últimos 12 a 18 meses. Estos incluyen redadas en un bufete de abogados de celebridades y un gigante de procesamiento de carne, que generaron a los atacantes 11 millones de dólares. Otras campañas notables incluyen el sofisticado ataque a la compañía de software de TI Kaseya y el compromiso del fabricante taiwanés y cliente de Apple Quanta Computer.

Los dos últimos son notables por sus escandalosas demandas de rescate, $ 70 millones y $ 50 millones, respectivamente. Pero también porque explotaron las cadenas de suministro globales, aunque de diferentes maneras, para promover sus objetivos.

Y aunque REvil se vio interrumpido recientemente por arrestos y sanciones, el grupo continúa sus operaciones. La buena noticia es que con Illumio a mano para mapear, monitorear y bloquear conexiones de red de alto riesgo, puede mitigar la amenaza REvil, y la de cualquier iteración que siga si el grupo finalmente desaparece.

¿Por qué son peligrosos los ataques a la cadena de suministro?

Los ataques de ransomware en la cadena de suministro son peligrosos porque pueden interrumpir toda la red de empresas interconectadas. Estos ataques pueden detener la producción, retrasar las entregas y causar pérdidas financieras significativas.

Además, pueden provocar violaciones de datos, exponiendo información confidencial en múltiples organizaciones, lo que socava la confianza y daña la reputación.

La interdependencia dentro de las cadenas de suministro significa que un ataque a una entidad puede tener un efecto en cascada, afectando a muchas otras compañías y potencialmente teniendo consecuencias económicas generalizadas.

La redada de abril de 2021 en Quanta Computer fue inteligente. Como socio clave de fabricación por contrato para Apple, tiene acceso a algunos planos y propiedad intelectual de productos altamente sensibles. Además, calculó REvil, puede estar menos protegido que el gigante tecnológico de Cupertino.

Cuando Quanta se negó a pagar, el grupo acudió a Apple para exigir el rescate, o de lo contrario filtrarían o venderían los documentos robados. No sabemos si tuvieron éxito, pero todos los datos relacionados con la redada se eliminaron posteriormente del sitio de filtración de REvil, según los reportes.

¿Qué nos dice este incidente? Primero, su organización puede convertir en un objetivo de ransomware/REvil si hace negocios con socios de alto valor. Y segundo, solo está tan seguro como sus proveedores menos seguros.

¿Cómo funciona REvil?

El ataque de Quanta en sí contenía algunos elementos únicos. Pero el patrón general, explotar software o servicios vulnerables y orientados hacia el exterior, se empleó en innumerables campañas. 

En este caso, REvil apuntó a una vulnerabilidad en el software Oracle WebLogic. Esto permitió a los actores de amenazas forzar a un servidor comprometido a descargar y ejecutar malware sin ninguna acción del usuario. Hubo dos etapas principales:

1. Los atacantes establecieron una conexión HTTP a un servidor WebLogic sin parches y luego lo obligaron a descargar la variante de ransomware Sodinokibi. Usaron un comando de PowerShell para descargar un archivo llamado "radm.exe" de direcciones IP maliciosas y luego obligó al servidor a almacenar el archivo localmente y ejecutarlo.
2. Los atacantes intentaron cifrar los datos en el directorio del usuario e interrumpir la recuperación de datos eliminando las "instantáneas" de los datos cifrados que Windows crea automáticamente.

¿Cómo puedes detener a REvil?

Una buena higiene cibernética, como la aplicación rápida de parches en los endpoints de alto riesgo, puede ayudar a reducir la superficie de ataque para las organizaciones. Pero más allá de esto, se pueden tomar medidas más integrales a nivel de red.

Las organizaciones deben comprender que incluso los canales confiables y el software de terceros pueden convertir en un conducto para el malware y el ransomware. Para mitigar este riesgo es necesario segmentar las soluciones disponibles en el mercado del resto del entorno, especialmente las herramientas de seguridad como la detección y respuesta de endpoints (EDR) y la detección y respuesta extendidas (XDR).

Las compañías también deben considerar identificar y restringir cualquier conexión saliente no esencial. Eso significa bloquear todo, excepto las comunicaciones a las IP de destino autorizadas, incluso en los puertos 80 y 443. Esto interrumpirá a los actores de amenazas que intenten "llamar a casa" a los servidores de comando y control (C&C) para descargar herramientas adicionales para progresar en los ataques. También bloqueará los intentos de exfiltrar datos de la organización a los servidores bajo su control.

Cómo puede ayudar Illumio

La avanzada tecnología de segmentación de confianza cero de Illumio ofrece una gestión de políticas escalable y sin esfuerzo para proteger los activos críticos y aislar el ransomware. Illumio permite a los equipos de seguridad obtener visibilidad de los flujos de comunicación y las vías de alto riesgo. Luego, aplicamos un control de segmentación total hasta el nivel de carga de trabajo para reducir significativamente su superficie de ataque y minimizar el impacto del ransomware.

En tres sencillos pasos, Illumio puede proteger su organización de ransomware como REvil:

1. Mapear todas las comunicaciones salientes esenciales y no esenciales
2. Implemente rápidamente políticas para restringir las comunicaciones a escala
3. Monitorear las conexiones salientes que no se pueden cerrar
    

Para obtener más instrucciones sobre las mejores prácticas sobre cómo crear resiliencia al ransomware:

• Lea nuestro libro electrónico, Cómo detener los ataques de ransomware
• Descargue la infografía, 3 pasos para detener el ransomware
• Registrar en los laboratorios prácticos de The Illumio Experience para ver por sí mismo la visibilidad basada en el riesgo y las capacidades de segmentación de confianza cero de Illumio