La demanda promedio de rescate por una infección por REvil ransomware es de $ 260,000.


En el abarrotado panorama genuine de ransomware, la pandilla de ransomware REvil (Sodinokibi) gobierna supremamente, empequeñeciendo cualquier otra operación related de ransomware.

Ejecutado como un Ransomware-as-a-Support (RaaS), la pandilla REvil alquila su cepa de ransomware a otros grupos criminales.

Estos grupos, conocidos como afiliados REvil, son los únicos responsables de distribuir el ransomware a las víctimas a través de los canales que prefieren, y luego solicitan la demanda de rescate que consideren adecuada, en función de la cantidad de computadoras que logran infectar en la crimson de una empresa.

Debido a esta configuración de múltiples actores y la capacidad de configuración de REvil, vigilar todas las operaciones de REvil RaaS y las campañas de distribución de afiliados siempre ha sido complicado, lo que requiere un esfuerzo masivo en términos de mano de obra y horas de trabajo.

Investigador sumidero REvil RaaS backend

Sin embargo, en un informe publicado hoy y compartió con ZDNet, el equipo de seguridad de KPN, un proveedor de telecomunicaciones holandés, dijo que pudo hundir e interceptar las comunicaciones entre las computadoras infectadas con REvil y los servidores de comando y handle (C&C) del ransomware REvil.

Los investigadores de KPN dicen que esto les permitió obtener información única sobre las operaciones de REvil RaaS, como la cantidad de infecciones activas, la cantidad de computadoras infectadas por ataque e incluso la suma de dinero que los hackers pidieron a las víctimas en cada reciente incidente.

Después de compilar todos sus datos, el equipo de KPN dice que en los últimos cinco meses durante los cuales han estado rastreando las actividades de REvil, han visto más de 150,000 infecciones únicas en todo el mundo.

Estas 150,000 computadoras infectadas se vincularon a solo 148 muestras de cepas de ransomware REvil. Al ver que las cepas REvil generalmente se implementan según el caso, cada cepa representó una infección exitosa de la red de una empresa.

«Algunos de los ataques son a gran escala, encriptando más de 3000 sistemas únicos en un solo ataque», dijo el equipo de KPN. «Algunos de estos ataques fueron discutidos en las noticias, pero muchas compañías permanecieron en silencio».

revil-greatest-incidents.png

Imagen: KPN

Pero además de saber cuántas empresas y computadoras infectadas por los operadores de REvil en los últimos meses, los investigadores de KPN dicen que también pudieron determinar cuánto dinero los piratas informáticos intentaron extorsionar a sus víctimas.

Según sus hallazgos, KPN dice que pudieron determinar que los afiliados de REvil solicitaron demandas de rescate por un complete de más de $ 38 millones en los últimos meses, con un promedio de $ 260,000 por empresa infectada.

De las 148 muestras que el equipo de KPN analizó, 73 muestras solo cifraron datos en una sola computadora, lo que significa que los afiliados de REvil no pudieron escalar desde su punto de entrada y extenderse a toda la crimson de la compañía.

En estos casos de infección única, la demanda promedio de rescate fue de $ 48,000, más pequeña que el promedio de $ 260,000, pero aún más grande que los usuales $ 1,000 o $ 2,000 que las cepas de ransomware habituales tienden a solicitar a los usuarios domésticos.

Sin embargo, se encontró un promedio de demanda de rescate mucho mayor en los casos en que las filiales de REvil tuvieron éxito en expandir su acceso desde el espacio inicial a toda la crimson interna de la compañía.

Para estas 75 muestras de REvil que parecían haber infectado múltiples estaciones de trabajo dentro de la pink de una empresa, la demanda de rescate promedio fue de $ 470,000 por empresa, y con muchos incidentes superando la marca de $ 1 millón.

revil-biggest-ransoms.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/01/28/f0c6d071-a042-4362-afa0-1061b9d53f21/revil-biggest-ransoms.png

Imagen: KPN

No está claro cuántos de estos rescates pagaron las víctimas de REvil, pero el rescate promedio exige que KPN haya logrado extraer de las muestras de REvil son superiores a los números reportados por otras fuentes en la industria de la seguridad cibernética.

Por ejemplo, según Coverware, una compañía de seguridad cibernética que ayuda a las víctimas a recuperarse de los ataques de ransomware y, a veces, negocia pagos en nombre de las víctimas, en el cuarto trimestre de 2019, el pago promedio del rescate aumentó en un 104% a $ 84,116, frente a $ 41,198 en el tercer trimestre 2019.

Comparando los dos números, $ 260,000 y $ 84,116, vemos que la pandilla REvil está tratando de extorsionar los pagos de las víctimas mucho más grandes de lo que la mayoría de las otras pandillas de ransomware están solicitando.

Una de las razones de esto podría ser la excelente campaña de relaciones públicas de REvil en foros de piratería clandestina, donde el creador del ransomware a menudo lo ha anunciado como una solución de primer nivel para ser utilizada primaria y exclusivamente en ataques contra grandes redes corporativas, en lugar de ser atacado en casa consumidores a través de campañas mundanas de spam.



Enlace a la noticia unique