Die durchschnittliche Lösegeldforderung für eine REvil-Ransomware-Infektion beträgt satte 260.000 US-Dollar

In der heutigen überfüllten Ransomware-Landschaft hat die Ransomware-Gang REvil (Sodinokibi) die Oberhand und stellt alle anderen ähnlichen Ransomware-Operationen in den Schatten.

Die REvil-Bande wird als Ransomware-as-a-Service (RaaS) betrieben und vermietet ihre Ransomware-Variante an andere kriminelle Gruppen.

Diese Gruppen, sogenannte REvil-Partner, sind allein dafür verantwortlich, die Ransomware über die von ihnen verwendeten Kanäle an die Opfer zu verteilen bevorzugen, und verlangen dann die Lösegeldforderung, die sie für angemessen halten, basierend auf der Anzahl der Computer, die sie in einem Unternehmen infizieren können Netzwerk.

Aufgrund dieses Multi-Akteur-Setups und der Konfigurierbarkeit von REvil behalten Sie alle REvil RaaS-Operationen und Partner im Auge Vertriebskampagnen waren schon immer kompliziert und erforderten einen enormen personellen und arbeitstechnischen Aufwand Std.

Researcher Sinkhole REvil RaaS-Backend

Jedoch, in einem heute veröffentlichten Bericht und ZDNet mitgeteilt, sagte das Sicherheitsteam von KPN, einem niederländischen Telekommunikationsanbieter, dass es in der Lage sei, Sinkhole und Abfangen der Kommunikation zwischen REvil-infizierten Computern und dem Command-and-Control-System (C&C) der REvil-Ransomware Server.

KPN-Forscher sagen, dass sie dadurch einzigartige Einblicke in die Abläufe des REvil RaaS gewinnen konnten, beispielsweise in die Anzahl der aktiven Infektionen, die Anzahl der infizierten Computer pro Angriff und sogar die Geldsumme (Lösegeld), die Hacker bei jedem aktuellen Angriff von ihren Opfern verlangten Vorfall.

Nachdem sie alle ihre Daten zusammengestellt haben, sagt das KPN-Team, dass sie in den letzten fünf Monaten dies getan haben Durch die Verfolgung der REvil-Aktivitäten haben sie weltweit mehr als 150.000 einzigartige Infektionen festgestellt Globus.

Diese 150.000 infizierten Computer wurden nur mit 148 Proben von REvil-Ransomware-Stämmen in Verbindung gebracht. Da REvil-Stämme normalerweise fallweise eingesetzt werden, stellte jeder Stamm eine erfolgreiche Infektion des Netzwerks eines Unternehmens dar.

„Einige der Angriffe sind von großem Ausmaß und verschlüsseln über 3000 einzigartige Systeme in einem Angriff“, sagte das KPN-Team. „Einige dieser Angriffe wurden in den Nachrichten diskutiert, aber viele Unternehmen schwiegen.“

Aber KPN weiß nicht nur, wie viele Unternehmen und Computer REvil-Betreiber in den letzten Monaten infiziert haben Forscher sagen, dass sie auch feststellen konnten, wie viel Geld die Hacker von ihnen erpressen wollten die Opfer.

Ihren Erkenntnissen zufolge konnte KPN feststellen, dass REvil-Partner Lösegeld forderten Die Forderungen beliefen sich in den letzten Monaten auf insgesamt mehr als 38 Millionen US-Dollar, bei einem Durchschnitt von 260.000 US-Dollar pro Infiziertem Unternehmen.

Von den 148 Proben, die das KPN-Team analysierte, verschlüsselten 73 Proben nur die Daten auf nur einem Computer dass REvil-Tochtergesellschaften es nicht schafften, von ihrem Einstiegspunkt aus zu eskalieren und sich auf das gesamte Unternehmen auszubreiten Netzwerk.

In diesen einzelnen Infektionsfällen betrug die durchschnittliche Lösegeldforderung 48.000 US-Dollar und lag damit unter dem Durchschnitt von 260.000 US-Dollar immer noch weitaus höher als die üblichen 1.000 oder 2.000 US-Dollar, die normale Ransomware-Stämme von zu Hause aus verlangen Benutzer.

Allerdings wurde eine viel höhere durchschnittliche Lösegeldforderung festgestellt, wenn es den REvil-Partnern gelang, ihren Zugang von der anfänglichen Basis auf das gesamte interne Netzwerk eines Unternehmens auszuweiten.

Bei diesen 75 REvil-Proben schien es, als hätten sie mehrere Arbeitsstationen innerhalb eines Unternehmens infiziert Netzwerk betrug die durchschnittliche Lösegeldforderung 470.000 US-Dollar pro Unternehmen, wobei viele Vorfälle die Grenze von 1 US-Dollar überschritten Millionenmarke.

Es ist unklar, wie viele dieser Lösegelder REvil-Opfer gezahlt haben, aber die durchschnittlichen Lösegeldforderungen, die KPN bewerkstelligen konnte Auszüge aus den REvil-Proben sind den von anderen Quellen im Bereich Cybersicherheit gemeldeten Zahlen überlegen Industrie.

Laut Coverware handelt es sich beispielsweise um ein Cybersicherheitsunternehmen, das Opfern dabei hilft, sich von Ransomware-Angriffen zu erholen verhandelt Zahlungen im Namen der Opfer. Im vierten Quartal 2019 stieg die durchschnittliche Lösegeldzahlung um 104 % auf 84.116 US-Dollar, gegenüber 41.198 US-Dollar im Jahr 3. Quartal 2019.

Beim Vergleich der beiden Zahlen – 260.000 US-Dollar und 84.116 US-Dollar – sehen wir, dass die REvil-Bande versucht, Zahlungen von den Opfern zu erpressen, die weit über dem liegen, was die meisten anderen Ransomware-Banden fordern.

Einer der Gründe dafür könnte die hervorragende PR-Kampagne von REvil in Untergrund-Hacking-Foren sein, in denen der Erfinder der Ransomware sie oft als solche beworben hat Eine erstklassige Lösung, die in erster Linie und ausschließlich für Angriffe auf große Unternehmensnetzwerke eingesetzt werden kann und nicht für die Verbreitung alltäglicher Spam-Mails an private Verbraucher bestimmt ist Kampagnen.