Negli scorsi giorni, in concomitanza con gli arresti degli esponenti del gruppo criminale REvil, Bitdefender ha diffusi i risultati ottenuti con il rilascio del suo Decryptor universale Revil, reso disponibile a settembre, che ha consentito alle aziende colpite da questo ransomware di risparmiare 550 milioni di dollari in riscatti non pagati.
Realizzato in collaborazione con un partner di fiducia delle forze dell’ordine e valido per attacchi REvil avvenuti prima del 13 luglio 2021, il Decryptor Sodinokibi / REvil ha aiutato più di 1.400 aziende in 83 paesi a recuperare i file e a risparmiare oltre 550 milioni di dollari.
Il team Bitdefender DRACO ha fornito consulenze e indicazioni sulla sicurezza informatica, soprattutto per quanto riguarda la crittografia, le indagini e le analisi che hanno aiutato le forze dell’ordine in quest’operazione a ridurre al minimo l’impatto degli attacchi ransomware riusciti, e alla fine, hanno consentito di effettuare gli arresti.
La storia di REvil
Più di tre anni fa, nel febbraio 2018, il DRACO Team di Bitdefender ha rilasciato il primo di molti strumenti di decrittazione per la famiglia di ransomware GandCrab. La pubblicazione del tool appena un mese dopo la comparsa dei primi esempi di questa potentissima famiglia di ransomware-as-a-service (RaaS), ha segnato l’inizio di una profonda collaborazione con le forze dell’ordine di tutto il mondo per un forte impegno da parte del vendor di sicurezza nell’arginare il ransomware.
Abbreviazione di Ransomware Evil, REvil è un’operazione RaaS privata comparsa per la prima volta nel 2019. Profondamente legato al gruppo, ormai scomparso, GandCrab RaaS, REvil sfrutta gli affiliati per infettare le aziende ed estorcere denaro.
Dal 2019, REvil si è esponenzialmente cresciuto ed è diventato la variante ransomware più comune nel secondo trimestre del 2021. È riuscito a compromettere migliaia di aziende in tutto il mondo, tra cui ricordiamo per esempio quello al sistema di oleodotti Colonial Pipeline, ed era noto per estorcere alle vittime pagamenti nettamente superiori al prezzo medio di mercato.
Il riscatto medio richiesto infatti ammonta a circa 393.000 dollari, molto più alto del riscatto medio di GandCrab che si aggirava tra gli 800 e i 2.400 dollari. Le aziende che non pagavano il riscatto e tentavano di ripristinare i backup venivano ricattate con la pubblicazione delle informazioni sensibili sottratte.
Ransomware, cosa fare secondo Bitdefender
Nel caso in cui si cada vittima di un attacco ransomware, Bitdefender raccomanda in primis di non pagare il riscatto e di informare la polizia locale sull’incidente. Di seguito ulteriori importanti raccomandazioni per proteggersi dal ransomware.
Gli attacchi ransomware di solito iniziano con una campagna di phishing via email e di social engineering. È importante quindi educare e formare continuamente i dipendenti sui pericoli in cui possono incorrere cliccando su link e aprendo allegati da mittenti sconosciuti.
Assicurarsi, poi, che le piattaforme di sicurezza come EDR (Endpoint Detection and Response) e XDR (eXtended Detection and Response) siano aggiornate con gli indicatori di compromissione (IOC) per cercare REvil e altre minacce note.
Considerare il modello di rilevamento e risposta gestito (MDR) per consentire ai team interni della sicurezza di essere attivi nella caccia alle minacce.
Minimizzate la superficie di attacco e assicurarsi che i servizi legacy o altri servizi non necessari (come RDP) non siano esposti a Internet.
Le vittime possono scaricare gratuitamente lo strumento di decrittazione REvil e recuperare i propri dati.