Эксперты Symantec Threat Intelligence обнаружили, что операторы вымогателя REvil (Sodinokibi) сканировали сеть одной из своих жертв в поисках серверов Point of Sale (PoS).
Исследователи напоминают, что REvil (он же Sodinokibi) это малварь, работающая по схеме шифровальщик-как-усулуга (ransomware-as-a-service, RaaS). REvil специализируется на компрометации корпоративных сетей с помощью эксплоитов, уязвимых служб удаленного доступа, спама, а также взлома поставщиков управляемых услуг (Managed services providers).
Проникнув в сеть, REvil развивает свою атаку в боковом направлении, похищает информацию со всех доступных серверов и рабочих станций, и лишь после этого шифрует файлы.
Теперь специалисты Symantec заметили, что группировка стала использовать инструментарий для пентестов Cobalt Strike для развертывания пейлоадов REvil в сетях жертв. Так, Cobalt Strike был найден в сетях восьми пострадавших компаний, и злоумышленники зашифровали данные трех крупных компаний, работающих в сферах услуг, пищевой промышленности и здравоохранения.
Аналитики считают, что выбирая крупные и многонациональные компаниями, злоумышленники надеются, что те смогут заплатить большой выкуп за восстановление доступа к своим системам. Так, у каждой пострадавшей компании хакеры потребовали 50 000 долларов в криптовалюте Monero или 100 000, если выкуп не будет вылечен в течение трех дней.
Компании, работающие в сферах услуг и пищевой промышленности, были идеальными целями для злоумышленников, так как это крупные организации, способные заплатить большой выкуп за расшифровку своих данных. Однако организация из сферы здравоохранения была куда меньше и вряд ли могла бы позволить себе такие расходы.
Судя по всему, хакеры тоже это понимали и опасались, что жертва не сможет заплатить за расшифровку файлов. Поэтому операторы REvil сканировали сеть организации в поисках PoS-систем, стремясь на всякий случай найти и похитить еще и информацию о банковских картах.
Исследователи пишут, что это совсем не похоже на обычную тактику операторов REvil в частности и на целевые вымогательские атаки в целом. В скором времени станет ясно, была это незапланированная попытка подстраховаться от невыплаты выкупа, или же среди вымогательских хак-групп наметился новой тренд, который вскоре подхватят и другие хакеры.