Ett annat vapen läggs till den redan fruktade arsenalen av Ransomware, enligt Symantecs forskare, REvil infektion (även känd som Sodinokibi) har observerats skanna sina offrens nätverk för POS-enheter.
REvil är en av de mest populära Ransomware-as-a-service (RaaS), vilket innebär att den säljs på Dark Web i "färdiga" paket för attacker, och är känd för sin stora förmåga att bryta sig in i företagsnätverk med hjälp av exploateringar, sårbara RDP-tjänster, nätfiske och komprometterade leverantörer av hanterade tjänster.
Angreppet
I sin senaste kampanj spred sig de kriminella hackarna efter att ha fått tillgång till ett målnätverk i sidled och stal även data från servrar och arbetsstationer och krypterade sedan alla maskiner i nätverket efter att ha fått administrativ tillgång till domänkontrollanten.
Som en del av den kampanj som forskarna observerade använde angriparna bakom REvil Cobalt Strike-verktygslådan för att sprida olika nyttolaster i sina målgruppers nätverk.
Totalt hittade forskarna Cobalt Strike i nätverken hos åtta företag som var målgrupp för denna kampanj, och angriparna infekterade och krypterade tre företag inom tjänste-, livsmedels- och hälsovårdssektorn med REvil ransomware.
Företagen som måltavlan i denna kampanj var främst stora företag, inklusive multinationella företag, som sannolikt var måltavlan eftersom angriparna trodde att de skulle vara villiga att betala en stor lösensumma för att återfå tillgång till sina system.
Var och en av offren ombads att betala 50 000 dollar i Monero-kryptovaluta eller 100 000 dollar om tidsfristen på tre timmar gick ut.
De kriminella hackarna från REvil gjorde sitt bästa för att undgå upptäckt efter att ha fått tillgång till sina måltavlors nätverk, genom att använda infrastruktur som finns på legitima tjänster som Pastebin (lagring av nyttolast) och Amazon CloudFront (kommando- och kontrollservrar).
De inaktiverade också säkerhetsprogram för att förhindra att deras attacker upptäcktes och stal autentiseringsuppgifter som senare användes för att lägga till "oseriösa" konton som ett sätt att få en långvarig närvaro på infekterade maskiner.
Scansions för PoS-system
Men medan livsmedels- och serviceföretag var perfekta måltavlor, eftersom de var stora organisationer som kunde betala en stor lösensumma för att få sina system dekrypterade, var det vårdföretag som drabbades en mycket mindre organisation som misslyckades med att betala lösensumman.
I det här fallet, som sannolikt motiverades av att det fanns en hög sannolikhet för att offret inte skulle kunna betala för sin "dekrypterare", sökte REvil-operatörerna också igenom organisationens nätverk efter PoS-system som försökte kompensera med kreditkortsdata eller som ett annat värdefullt mål att kryptera.
Och även om många av attackens element är "typiska" taktiker som setts i tidigare attacker med Sodinokibi, är skanningen av offrens system för PoS-mjukvara intressant, eftersom det inte är något man vanligtvis ser hända under klassiska ransomware-kampanjer.
Det ska bli intressant att se om detta bara var en opportunistisk aktivitet eller om det är på väg att bli en ny taktik.
Som om det inte vore nog lanserade REvil ransomware tidigare denna månad också en auktionssajt för att sälja sina offrens stulna data till högstbjudande.
av Pierguido Iezzi, medgrundare Swascan