revil-ransomware - RunkIntel

# REvil Ransomware > [!critical] RaaS de Alto Impacto - Sucessor do GandCrab > REvil (também conhecido como **Sodinokibi**) é um ransomware-as-a-service ativo desde abril de 2019, desenvolvido como sucessor direto do **GandCrab** pelo grupo **GOLD SOUTHFIELD**. Responsável por alguns dos ataques mais impactantes da história, incluindo a cadeia de suprimentos da **Kaseya** (julho 2021) e o frigorífico **JBS** (maio 2021), totalizando centenas de milhões em resgates pagos antes de ser desmantelado em janeiro de 2022. ## Visão Geral REvil emergiu em abril de 2019 como o herdeiro técnico e operacional do [[gandcrab]], que havia anunciado apósentadoria com lucros de $2 bilhões. A transição foi suave: o código compartilha arquitetura similar, o modelo RaaS foi mantido e parte dos afiliados migrou diretamente. O grupo por trás do REvil, rastreado como [[gold-southfield]] pela Secureworks, estabeleceu rápida reputação por ataques de alto perfil e exigências de resgate multimilionárias. O ransomware destaca-se técnicamente pelo uso de criptografia híbrida robusta: Salsa20 para criptografia simétrica de arquivos e curva elíptica Diffie-Hellman (ECDH) para proteção das chaves de sessão. A configuração do malware é embutida e cifrada com RC4, tornando análise estática significativamente mais difícil. REvil também explorava vulnerabilidades de forma agressiva para acesso inicial, notavelmente a [[cve-2019-2725|CVE-2019-2725]] (Oracle WebLogic, CVSS 9.8) nos primeiros meses de operação. O episódio mais impactante foi o ataque à cadeia de suprimentos da [[kaseya]] em julho de 2021, onde o grupo explorou a [[cve-2021-30116|CVE-2021-30116]] no software VSA da Kaseya para distribuir o ransomware para mais de 1.500 organizações através de MSPs (Managed Service Providers). O resgate inicial pedido foi de $70 milhões - o maior da história até aquele momento. Para o Brasil e LATAM, o REvil representa uma ameaça histórica relevante: o ataque ao frigorífico [[jbs|JBS]] (empresa brasileira, maior produtora de carne do mundo) em maio de 2021 resultou no pagamento de $11 milhões de resgate em Bitcoin. Esse caso demonstrou a vulnerabilidade de empresas LATAM de grande porte operando infraestrutura crítica de processamento de alimentos. ## Como Funciona **Acesso inicial (múltiplos vetores):** 1. Exploração de CVEs em sistemas expostos (Oracle WebLogic CVE-2019-2725, Pulse Secure, Kaseya VSA) 2. Spam campaigns com documentos maliciosos contendo macros 3. Acesso via RDP exposto com credenciais comprometidas (compra em mercados underground) 4. Acesso via afiliados RaaS que realizam comprometimento inicial e passam acesso **Execução e escalada:** 1. Bypass de UAC via técnicas documentadas (CVE-2018-8453 escalada de privilégio local) 2. Injeção em processos legítimos para evasão de detecção 3. Configuração embarcada cifrada com RC4 descreve alvos, extensão dos arquivos cifrados, e chaves públicas 4. Exclusão de shadow copies via `vssadmin` e desabilitação de recuperação do sistema **Criptografia:** - Salsa20 para cifragem simétrica rápida dos arquivos - ECDH para proteção da chave de sessão (sem chave mestra = sem recuperação) - Extensão customizável por campanha (hexadecimal aleatório, ex: `.d5e9`, `.a1bc`) - Nota de resgate: `{random}-readme.txt` em cada diretório afetado **Exfiltração antes da criptografia:** - Dados exfiltrados para o site de vazamentos `Happy Blog` para dupla extorsão - FTP e HTTP usados como canais de exfiltração ## Attack Flow ```mermaid graph TB A["Acesso Inicial CVE ou RDP comprometido"] --> B["Escalada UAC bypass CVE-2018-8453"] B --> C["Reconhecimento Mapeamento AD Identificação de backups"] C --> D["Exfiltração Dados sensiveis para Happy Blog"] D --> E["Desativacao Backup vssadmin delete wbadmin delete"] E --> F["Cifragem Salsa20 ECDH protege chave de sessao"] F --> G["Nota de Resgate readme.txt em cada pasta"] G --> H["Dupla Extorsao Pagar ou ter dados publicados"] ``` **Legenda:** [[gandcrab]] · [[gold-southfield]] · [[kaseya]] · [[cve-2019-2725|CVE-2019-2725]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1195-002-compromise-software-supply-chain|T1195.002]] ## Timeline ```mermaid timeline title REvil - Linha do Tempo 2019-04 : REvil / Sodinokibi aparece : Sucessor do GandCrab : Exploita CVE-2019-2725 2020 : Ataques de alto perfil : Grubman Shire Meiselas : $42 milhoes de Madonna pedidos 2021-05 : Ataque ao JBS : Empresa brasileira paga : $11 milhoes em Bitcoin 2021-07 : Cadeia de suprimentos Kaseya : 1500+ empresas afetadas : $70 milhoes de resgate pedido 2021-09 : Grupo encerra operacoes : Pressao do governo EUA : REvil desaparece brevemente 2021-10 : REvil retorna : Nova infraestrutura C2 : Ataques continuam 2022-01 : FSB russo prende membros : 14 suspeitos detidos : Infraestrutura derrubada ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Salsa20 + ECDH para cifragem de arquivos e chaves | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies via vssadmin | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2019-2725 Oracle WebLogic, CVE-2021-30116 Kaseya | | Bypass UAC | [[t1548-002-bypass-uac\|T1548.002]] | CVE-2018-8453 para escalada de privilégio local | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Configuração RC4 embutida no binário | | Supply Chain Compromise | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Ataque via MSPs usando Kaseya VSA comprometido | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts de pós-exploração | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Fingerprinting do alvo antes da criptografia | ## Relevância para o Brasil e LATAM > [!latam] JBS: O Ataque de Ransomware Mais Emblemático do Brasil > O REvil atacou a **JBS S.A.** — empresa brasileira e maior produtora de carne do mundo — em maio de 2021, resultando em pagamento de **US$11 milhões em Bitcoin**. O caso acelerou debates sobre resiliência cibernética na indústria alimentar brasileira e expôs a vulnerabilidade de empresas nacionais de infraestrutura crítica ao modelo RaaS. O REvil tem impacto direto e documentado no Brasil: **Ataque ao JBS (caso emblemático):** - O [[jbs|JBS S.A.]], empresa brasileira e maior produtora de carne do mundo, sofreu ataque em maio de 2021 - Operações nos EUA, Canadá e Austrália foram paralisadas por vários dias - Pagamento de $11 milhões em Bitcoin foi confirmado pelo CEO da JBS USA - Caso tornou-se referência para discussão de segurança em empresas brasileiras de infraestrutura crítica de alimentos **Exposição do modelo RaaS no Brasil:** - O modelo RaaS permite que afiliados locais operem o ransomware sem expertise técnica profunda - Operadores brasileiros afiliados ao [[revil]] foram identificados em investigações posteriores - Empresas brasileiras nos setores de [[manufacturing|manufatura]], [[healthcare|saúde]] e [[technology|tecnologia]] foram alvejadas por afiliados **Lições para o setor corporativo LATAM:** - Fornecedores de MSP (parceiros de TI gerenciados) são vetores críticos de ataques em cadeia - A [[lgpd|LGPD]] exige notificação quando dados de brasileiros são exfiltrados em ataques de dupla extorsão - O ataque ao JBS acelerou debates sobre resiliência cibernética na indústria alimentar brasileira ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - REvil Ransomware (TLP:GREEN) > **Artefatos no host:** > Arquivo `{random}-readme.txt` em múltiplos diretórios > Extensão aleatória hexadecimal adicionada a arquivos cifrados > Chave de registro: HKCU\SOFTWARE\{random} com configuração Base64 > > **Comportamento:** > Execução de vssadmin delete shadows /all /quiet > Execução de bcdedit para desabilitar recuperação > Processo filho do Kaseya VSA com comandos PowerShell suspeitos > > **Fonte:** Secureworks CTU · Sophos · CISA Advisory AA21-131A **Mitigações recomendadas:** - Implementar [[m1057-data-backup|M1057]] com backups offline imutáveis e testados regularmente - Aplicar [[m1051-update-software|M1051]] de forma agressiva, priorizando sistemas expostos à internet - Usar [[m1030-network-segmentation|M1030]] para limitar impacto de comprometimento de MSPs - Monitorar via [[ds0009-process-creation|DS0009]] execução de `vssadmin` por processos não administrativos - Implementar [[m1036-account-use-policies|M1036]] com MFA obrigatório para acesso RDP e interfaces de gestão ## Referências - [1](https://www.secureworks.com/research/revil-sodinokibi-ransomware) Secureworks CTU - REvil/Sodinokibi Ransomware Analysis (2019) - [2](https://www.cisa.gov/sites/default/files/publications/AA21-131A.stix.json) CISA Advisory AA21-131A - DarkSide and REvil Ransomware (2021) - [3](https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf) Sophos - Sodinokibi Deep Technical Analysis (2019) - [4](https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-says-all-systems-now-operational/) BleepingComputer - JBS Paid $11M to REvil (2021) - [5](https://attack.mitre.org/software/S0496/) MITRE ATT&CK - REvil S0496 (2021) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.revil) Malpedia - REvil/Sodinokibi Entry