Redazione RHC : 25 Aprile 2021 08:44
il 18 marzo del 2021, sul forum russo XSS, è apparsa una intervista alla voce della cyber-gang REvil (chiamati anche Sodinokibi), che vi riportiamo in alcune delle sue parti più interessanti.
Di Sodinokibi ne abbiamo parlato su queste pagine, riportando le logiche di affiliazione, gli sviluppatori e le vittime, riportando che REvil nell’ultimo periodo ha sferrato attacchi a grandissime aziende e questo non sembra per nulla arrestare il trend.
La voce di REvil è l’utente UNKNOW sul forum russo XSS ed è stato intervistato da Dmitry Smilianets. UNKNOW, nell’intervista, ha parlato dell’intenzione di creare un ransomware per Linux, dell’inutilità degli intermediari, dell’uso egregio della Elliptic Curve Cryptography (ECC), dell’intenzione di applicare il “CEO bullismo” e delle chiamate verso i giornalisti e partner per far salire la pressione prima di pubblicare i primi dati per richiedere un secondo riscatto e alla fine, alcuni piccoli segreti di quando era bambino.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Di seguito tutta l’intervista ad UNKNOW che inizia con queste parole sul forum XSS:
Non si può negare che il ransomware sia attualmente una delle principali fonti di reddito dal crimine informatico. Alcuni gruppi che cercano di arricchirsi, stanno oltrepassando aggressivamente i confini, aumentando le loro richieste a sette o otto cifre, minacciando di pubblicare dati online se i pagamenti non vengono effettuati e prendendo di mira ospedali e altre organizzazioni vulnerabili.
Un gruppo noto per le sue tattiche audaci e redditizie è REvil, noto anche come Sodinokibi. Il gruppo ha lanciato il ransomware come servizio, in cui gli sviluppatori vendono malware ai partner che lo utilizzano, per crittografare i dati e i dispositivi di un’organizzazione.
Alcune delle affermazioni di Unknown, come l’esistenza di affiliati con accesso a sistemi di lancio di missili balistici e centrali nucleari, sembrano stravaganti, fino a quando non si leggono i rapporti che le fanno sembrare stranamente plausibili. Unknown ha recentemente parlato con Dmitry Smilyanets, analista di minacce di Recorded Future, dell’utilizzo del ransomware come arma, del restare fuori dalla politica, della sperimentazione di nuove tattiche e altro ancora.
L’intervista è stata condotta in russo, tradotta in inglese da un traduttore professionista e rivista per chiarezza.
Dmitry : Unknow, come hai deciso di entrare nel business dei ransomware?
Unknow: Personalmente parlando, è stato molto tempo fa. Dal 2007, quando sono comparsi i primi winlocker. Anche allora, ha portato un buon profitto.
Dmitry : Avevi un deposito di 1 milione di dollari sul forum XSS e hai menzionato un reddito di 100 milioni di dollari. Dato che ricevi pagamenti in criptovaluta, probabilmente hai mezzo miliardo di dollari oggi. Questo ti basta per sbarazzarti del ransomware?
Unknow: Il deposito è stato ritirato proprio a causa del tasso di cambio. Per me personalmente, non esiste un limite massimo per l’importo. Adoro trarre profitto. Non ci sono mai troppi soldi, ma c’è sempre il rischio di non averne abbastanza.
Dmitry : hai detto che rimarrai apolitico e hai una motivazione puramente finanziaria. Ma se decidi di aver fatto abbastanza soldi, il tuo punto di vista può cambiare e decidi di influenzare la geopolitica?
Unknow: Non voglio davvero essere una merce di scambio. Ci siamo rivolti alla politica e non ne è venuto fuori niente di buono, solo perdite. Con le attuali relazioni geopolitiche, tutto questo è molto vantaggioso per noi, anche senza alcuna interferenza.
Dmitry : Cosa rende REvil così speciale? Il codice? Le persone affiliate? L’attenzione dei media?
Unknow: Penso che funzioni bene tutto. Ad esempio, questa è un’intervista. Perché sarebbw necessaria? D’altra parte noi siamo meglio dei nostri concorrenti. Idee insolite, nuovi metodi e reputazione del marchio producono tutti buoni risultati. Come ho detto, stiamo creando un nuovo ramo di sviluppo del ransomware. Se guardi i concorrenti, sfortunatamente molti copiano semplicemente le nostre idee e, cosa più sorprendente, lo stile del testo dei nostri messaggi. Questo è positivo: cercano di dimostrare che non sono peggio di noi, cercano di raggiungere un livello e si sforzano persino di superare qualcosa. E in alcune cose sono già migliori. Ad esempio, con queste versioni per Linux e così via. Ma questo è temporaneo. Ovviamente stiamo anche lavorando a tutto questo, ma con un avvertimento: tutto andrà molto meglio. Ma non subito.
Dmitry: Elliptic Curve Cryptography (ECC) è stata una scelta davvero buona, ha una dimensione della chiave più piccola rispetto al sistema a chiave pubblica basato su RSA, rendendo questo sistema attraente tra gli affiliati. Di cos’altro sei orgoglioso relativamente al codice? Come decidi quando aggiungere nuove funzionalità al tuo codice?
Unknow: Ci sono molti vantaggi ad utilizzare ECC, leggete meglio le recensioni. Personalmente, mi piace molto il sistema di crittografia. Il risultato è quasi perfetto.
Dmitry : Sono rimasto impressionato dalla varietà di packer e ransomware che ho trovato nel tuo malware. Li vendi ad altri? Una volta ne ho visto uno su un campione di Maze. Li acquisti oppure uno dei tuoi dipendenti lavorava per un concorrente?
Unknow: Gli affiliati cambiano spesso programmi di affiliazione, ed è per questo che c’è una tale varietà.
Dmitry : Pavel Sitnikov ha detto che hai comprato il codice GandCrab da Maxim Plakhtiy, è vero?
Unknow: È vero che l’abbiamo comprato, ma non conosciamo i nomi e cose del genere. Anche se fosse Rotten Gen, non ci interessa.
Dmitry : Credi che il ransomware sia l’arma perfetta per la guerra informatica? Hai paura che un giorno possa scoppiare una vera guerra?
Unknow: Sì, come arma può essere molto distruttiva. Beh, so che almeno diversi partner hanno accesso a un sistema di lancio di missili balistici, uno a un incrociatore della Marina degli Stati Uniti, uno a una centrale nucleare e uno a una fabbrica di armi. È del tutto possibile iniziare una guerra. Ma non ne vale la pena: le conseguenze non sono redditizie.
Dmitry : Quali altre regioni oltre alla CSI cerchi di evitare? Quali organizzazioni non pagano mai?
Unknow: tutti i paesi della CSI, comprese la Georgia e l’Ucraina. Principalmente a causa della geopolitica. In secondo luogo, a causa delle leggi. In terzo luogo, per alcuni a causa del patriottismo. I paesi molto poveri non pagano: questi sono India, Pakistan, Afghanistan e così via.
Dmitry : Hai detto prima che tu e i tuoi partner comprendete il rischio di andare all’estero e quindi non viaggiate. Pensi che potrebbero esserci dei “venti di cambiamento” in patria e quindi le forze dell’ordine locali presteranno maggiore attenzione alle vostre operazioni?
Unknow: Se entriamo in politica, allora sì. Se guardiamo ai paesi della CSI, allora sì. Sotto tutti gli altri aspetti, rimangono neutrali.
Dmitry : I criminali della vecchia scuola stanno causando problemi?
Unknow: No.
Dmitry : Quale è la tua reazione quando vedi arrestare una banda di estorsori o i loro partner?
Unknow: neutro. Questo è un normale flusso di lavoro. In relazione alla chiusura di Maze, abbiamo solo aumentato il numero di partner promettenti. Quindi per noi, direi, questo è in un certo senso positivo.
Dmitry: Quanti affiliati hai avuto di più contemporaneamente?
Unknow: 60.
Dmitry: Quando se ne vanno, è perché sono passati a un altro ransomware per ottenere prezzi migliori? Hai problemi quando un partner va da un concorrente?
Unknow: Ci sono sicuramente due lati in questo. Il 30% se ne va perché ha guadagnato abbastanza. Ma, naturalmente, prima o poi tornano sempre. Altrimenti, sì, vanno ai concorrenti che abbassano le offerte (fino al 90%, ecc.). Certo, questo è spiacevole, ma è concorrenza. Ciò significa che dobbiamo assicurarci che le persone tornino. Dagli quello che gli altri non fanno.
Dmitry: Alcuni operatori donano una percentuale dei loro guadagni in beneficenza. Qual è la tua opinione su questo? A chi vorresti donare un milione?
Unknow: Progetti gratuiti per l’anonimato.
Dmitry: Come è cambiata la tua interazione con le organizzazioni delle vittime dall’inizio della pandemia?
Unknow: Tutto è cambiato. La crisi è palpabile, non possono pagare gli importi di prima. Fatta eccezione per i produttori farmaceutici. Penso che dovrebbero ricevere maggiore attenzione. Stanno bene. Dobbiamo aiutarli.
Dmitry: Le tue operazioni prendono di mira organizzazioni che dispongono di assicurazioni informatiche?
Unknow: Sì, questo è uno degli snack più deliziosi. Soprattutto per hackerare prima gli assicuratori, per ottenere la loro base di clienti e lavorare in modo mirato da lì. E dopo aver esaminato l’elenco, premi già dove devi.
Dmitry: Come ti senti riguardo ai negoziatori? È più facile trattare con i professionisti? Aiutano o complicano la cosa?
Unknow: il 70% è necessario solo per abbassare il prezzo. Spesso complicano. Ebbene, ad esempio, l’azienda ha un fatturato di 1 miliardo di dollari. Chiediamo un riscatto di 1 milione. Viene un negoziatore e dice: non ci interessa, non daremo più di 15.000 dollari. Riduzione del prezzo a 900.000. Offre 20.000. Bene, allora ci rendiamo conto che parlare con lui è inutile e iniziamo a pubblicare dati in modo che i proprietari della rete lo colpiscano in testa per tali trattative. E, naturalmente, dopo questi trucchi, il prezzo aumenta. Invece di 1 milione, pagheranno uno e mezzo. A nessuno piacciono gli imbonitori, soprattutto lo show-off. Quindi il più delle volte fanno più danni. Aiutano solo quando si acquista BTC o Monero.
Dmitry: Raccomanda qualche negoziatore specifico alle aziende compromesse o agiscono per conto proprio? Non tutti hanno 100 BTC per riacquistare i dati e non è facile ottenerli in breve tempo.
Unknow: Usate intermediari decenti in modo che conoscano lo scopo del gioco. Diamo ai buoni rivenditori buoni sconti in modo che ottengano un piccolo profitto e le aziende paghino di meno. Per quanto riguarda la tempistica, possiamo sempre allocare tempo aggiuntivo. In generale, se c’è un’intesa. Ma se riceviamo messaggi folli come “Niente soldi” o “Pagheremo un decimo”, non hai nessuno da incolpare tranne te stesso.
Dmitry: Hai detto che volevi applicare ulteriore pressione con DDoS. Quanto è efficace questo schema?
Unknow: Non lo usiamo spesso, a differenza delle chiamate. Chiamare dà un ottimo risultato. Chiamiamo ogni target, così come i loro partner e giornalisti: la pressione aumenta in modo significativo. E dopo tutto questo inizi a pubblicare file, beh, è semplicemente fantastico. Ma usare DDoS alla fine significa uccidere l’azienda. Letteralmente. Penso anche che amplieremo questa tattica per prendere di mira il CEO e/o il fondatore dell’azienda. OSINT personale, bullismo. Penso che anche questa sarà un’opzione molto interessante. Ma le vittime dovrebbero capire che più risorse spendiamo prima che il riscatto venga pagato, tutto questo sarà incluso nel costo del servizio alla fine. =)
Dmitry: Dimmi un segreto su di te.
Unknow: Da bambino, ho rovistato nei bidoni della spazzatura e ho fumato mozziconi di sigaretta. Ho camminato per 10 km solo andata e ritorno per andare a scuola. Ho indossato gli stessi vestiti per sei mesi. Nella mia giovinezza non ho mangiato nulla in un appartamento comune per due o tre giorni. Adesso sono un milionario.