s0496-revil - RunkIntel

# REvil > Tipo: **ransomware** (RaaS) · S0496 · [MITRE ATT&CK](https://attack.mitre.org/software/S0496) ## Visão Geral [[s0496-revil|REvil]] (Ransomware Evil, também conhecido como Sodinokibi e Sodin) foi uma operação de ransomware-as-a-service (RaaS) de lingua russa operada pelo grupo [[g0115-gold-southfield|GOLD SOUTHFIELD]], ativa de abril de 2019 até janeiro de 2022. Considerado o sucessor do GandCrab (que encerrou operações em junho de 2019 alegando ter obtido mais de US$2 bilhoes em resgates), o REvil rapidamente se tornou um dos grupos de ransomware mais prolíficos e técnicamente sofisticados do mundo. O REvil e responsavel por alguns dos ataques de ransomware mais impactantes da historia: em abril de 2021, roubou esquemas confidenciais de produtos da Apple via ataque ao fornecedor Quanta Computer; em maio de 2021, atacou a JBS Foods - uma das maiores empresas de alimentos do mundo, de origem brasileira - resultando em pagamento de US$11 milhões e paralisacao temporaria de todas as plantas de carne bovina dos EUA; em julho de 2021, explorou uma vulnerabilidade zero-day no software Kaseya VSA (CVE-2021-30116) para comprometer mais de 1.500 organizacoes downstream de provedores de servicos gerenciados (MSPs) em um ataque de cadeia de suprimentos, demandando US$70 milhões pelo decriptor universal. Técnicamente, o REvil e altamente configuravel: cada afiliado recebe uma build personalizada com configuração JSON embutida (dominios C2, chaves de criptografia, exclusoes de pasta, configuracoes de nota de resgaté). A criptografia usa Elliptic Curve Diffie-Hellman (ECDH) com chaves únicas por sessao, tornando a decriptacao impossível sem a chave privada do operador. O modelo de afiliados operava com split 80/20 (afiliado/desenvolvedor) - revelando posteriormente uma backdoor que permitia aos operadores originais realizar "double chat" e fraudar afiliados em pagamentos. Em janeiro de 2022, o FSB russo prendeu 14 membros do REvil a pedido dos EUA, e apreendeu US$6,8 milhões e equipamentos - a maior acao policial russa contra ransomware registrada. **Plataformas:** Windows ## Como Funciona O REvil suportava múltiplos vetores de acesso inicial: RDP bruteforce, exploração de aplicações expostas (Exchange, Pulse Secure VPN), compra de acesso via Initial Access Brokers, e o caso mais notavel - exploração de cadeia de suprimentos via Kaseya VSA (CVE-2021-30116, SQL injection + upload de arquivo arbitrario). **Pre-criptografia:** Ferramentas de reconhecimento (AdFind, SharpSploit, BloodHound, NBTScan) mapeiam o ambiente. Credenciais sao capturadas. Dados sensiveis sao exfiltrados para o site Happy Blog (dupla extorsao). **Evasão:** Reinicializacao em modo seguro (`-smode`) para contornar soluções de segurança que nao carregam neste modo; DLL side-loading com `MsMpEng.exe` legitimo (Windows Defender) carregando DLL maliciosa `mpsvc.dll`; desativacao do Windows Defender via PowerShell. **Criptografia:** Salsa20 por arquivo (chave única por arquivo baseada na chave de sessao pública armazenada no registro). Extensao aleatoria de 5-10 caracteres anexada aos arquivos criptografados. Nota de resgaté com URL única de acesso ao portal de negociacao. ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial RDP / VPN / IAB Kaseya CVE-2021-30116"] --> B["🔍 Reconhecimento AdFind / BloodHound T1082 System Discovery"] B --> C["📤 Exfiltração Dados para Happy Blog T1041 Double Extortion"] C --> D["🛡 Evasão Safe Mode Boot DLL Side-Loading MsMpEng"] D --> E["🔑 Criptografia Salsa20 + ECDH T1486 Data Encrypted"] E --> F["💰 Dupla Extorcao Pagar OU publicar Portal Tor negociacao"] classDef access fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef exfil fill:#f39c12,color:#fff classDef evade fill:#8e44ad,color:#fff classDef encrypt fill:#2980b9,color:#fff classDef impact fill:#2c3e50,color:#fff class A access class B recon class C exfil class D evade class E encrypt class F impact ``` ## Timeline ```mermaid timeline title REvil - Linha do Tempo 2019-04 : Primeiras amostras documentadas 2019-06 : GandCrab encerra - REvil surge como sucessor 2020 : Modelo RaaS estabelecido, afiliados globais 2021-04 : Rouba esquemas Apple via Quanta Computer 2021-05 : Ataque JBS Foods - US$11M resgaté pago 2021-07 : Kaseya VSA - 1500 organizacoes comprometidas 2021-09 : Bitdefender publica decriptor universal 2021-11 : Vasinskyi (Kaseya) e Polyanin presos (DOJ) 2022-01 : FSB prende 14 membros, apreende US$6.8M 2022-10 : Atividade residual observada com código similar ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Grupos que Usam - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - operador principal, origem Russia - [[g0046-fin7|FIN7]] - parceria documentada em campanhas específicas ## Detecção > [!danger] Modo Seguro como Vetor de Evasão > A técnica de reinicializacao em modo seguro (Safe Mode Boot) desativa a maioria das soluções EDR/AV - a criptografia ocorre sem defesas ativas. Monitorar mudanças em configuracoes de boot e uso do argumento `-smode` como sinal de alerta critico. **Indicadores comportamentais:** - Reinicializacao em modo seguro via `bcdedit.exe /set {default} safeboot minimal` ou registro `RunOnce` com path para executavel - DLL side-loading com `MsMpEng.exe` em diretorio incomum (fora de `C:\ProgramData\Microsoft\Windows Defender\`) - PowerShell desativando Windows Defender em massa: `Set-MpPreference -DisableRealtimeMonitoring $true` - Criação de ransom notes (`{extensao-aleatoria}-HOW-TO-DECRYPT.txt`) em múltiplos diretorios em sequencia rapida - Extensao de arquivo randomica (5-10 chars alfanumericos) sendo adicionada em massa **Sigma recomendado:** - `win_shadow_copies_deletion.yml` - delecao de shadow copies - `proc_creation_win_bcdedit_safemode.yml` - configuração de boot mode seguro - `proc_creation_win_msMpEng_dll_load.yml` - MsMpEng DLL side-loading ## Relevância LATAM/Brasil O [[s0496-revil|REvil]] foi um dos grupos de ransomware mais ativos na América Latina, com múltiplos ataques documentados contra empresas brasileiras dos setores industrial, de alimentos, juridico e de servicos durante 2020-2021. O caso mais emblematico e o ataque ao [[jbs-foods|JBS Foods]] em maio de 2021: a empresa, uma das maiores produtoras de proteinas animais do mundo e de origem brasileira, pagou resgaté de US$11 milhões e teve operações interrompidas em múltiplos paises - demonstrando o risco sistemico de ransomware RaaS para corporacoes brasileiras com operações globais. O ataque Kaseya também afetou MSPs com clientes brasileiros. Embora o REvil tenha sido desmantelado em 2022, seu código-fonte foi redistribuido e influenciou desenvolvimento de variantes posteriores ativas na regiao - incluindo o [[g0115-gold-southfield|GOLD SOUTHFIELD]] que pode ter retomado operações sob novo nome. ## Referências - [MITRE ATT&CK - S0496](https://attack.mitre.org/software/S0496) - [Wikipedia - REvil](https://en.wikipedia.org/wiki/REvil) - [Sophos - REvil/Sodinokibi Ransomware Technical Analysis](https://www.sophos.com/en-us/research/revil-sodinokibi-ransomware) - [Trend Micro - Ransomware Spotlight: REvil](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-revil) - [DOJ - Kaseya/REvil Indictments 2021](https://www.justice.gov/opa/pr/department-justice-seizes-6-million-ransomware-actor-indicts-ukrainian) - [Varonis - REvil MSP Supply Chain Attack Analysis](https://www.varonis.com/blog/revil-msp-supply-chain-attack)