ΑρχικήsecurityΤο Ransom Cartel συνδέεται με το ransomware REvil

Το Ransom Cartel συνδέεται με το ransomware REvil

Μετά από διεξοδική έρευνα, οι ειδικοί ανακάλυψαν ότι η επιχείρηση Ransom Cartel ransomware συνδέεται πιθανότατα με τη γνωστή συμμορία REvil. Η σύνδεση αυτή έγινε με βάση τις ομοιότητες μεταξύ των μεθόδων κρυπτογράφησης των δύο ομάδων.

Ransomware ομάδες μεταφέρονται από το Cobalt Strike στο Brute Ratel

Δείτε επίσης: Η ομάδα APT41/Winnti παραβίασε govt orgs του Χονγκ Κονγκ

Η REvil έφτασε στο αποκορύφωμα της επιτυχίας της στις αρχές του 2021, όταν παραβίασε χιλιάδες εταιρείες σε μια επίθεση στην αλυσίδα εφοδιασμού της Kaseya MSP. Απαίτησαν επίσης την καταβολή 50 εκατομμυρίων δολαρίων από την κατασκευάστρια εταιρεία υπολογιστών Acer και εκβίασαν την Apple χρησιμοποιώντας κλεμμένα σχεδιαγράμματα συσκευών που δεν είχαν ακόμη κυκλοφορήσει.

Η επιχείρηση REvil ransomware έκλεισε τελικά στα μέσα του 2021 μετά από συνεχείς πιέσεις των αρχών επιβολής του νόμου. Ωστόσο, οι ρωσικές αρχές ανακοίνωσαν λίγους μήνες αργότερα, στις αρχές του 2022, συλλήψεις και κατασχέσεις χρημάτων σε βάρος οκτώ πρώην μελών της.

Στα τέλη του 2021, το “Ransom Cartel” ξεκίνησε ως μια νέα επιχείρηση της οποίας ο κώδικας έχει πολλές ομοιότητες με τον κώδικα του REvil.

Δείτε επίσης: Εξαρθρώθηκε εγκληματική ομάδα που χάκαρε αυτοκίνητα χωρίς κλειδί

Ένα πιθανό rebrand;

Μια νέα έκθεση από τη Unit 42 της Palo Alto Network αποκάλυψε ομοιότητες μεταξύ δύο συμμοριών ηλεκτρονικού εγκλήματος, συμπεριλαμβανομένων κοινών σημείων στον κώδικα κακόβουλου λογισμικού τους.

Ο πηγαίος κώδικας για το κακόβουλο λογισμικό κρυπτογράφησης του REvil δεν διέρρευσε ποτέ σε φόρουμ hacking. Ως εκ τούτου, εάν οποιοδήποτε νέο έργο έχει παρόμοιο κώδικα με αυτόν που χρησιμοποιήθηκε στο παρελθόν, είτε πρόκειται για ένα rebrand είτε είναι μια νέα επιχείρηση που λειτουργεί από ένα βασικό μέλος της αρχικής συμμορίας.

Κατά τη διερεύνηση των encryptor που σχετίζονται με το Ransom Cartel, οι ερευνητές διαπίστωσαν ότι παρόλο που οι θέσεις αποθήκευσης ήταν διαφορετικές, υπήρχαν ομοιότητες μεταξύ των ρυθμίσεων που ενσωματώθηκαν στο κακόβουλο λογισμικό.

Τα δείγματα της Unit 42 αποκαλύπτουν ότι από το Ransom Cartel λείπουν μερικές τιμές διαμόρφωσης, γεγονός που υποδηλώνει ότι οι δημιουργοί είτε προσπαθούν να κάνουν το κακόβουλο λογισμικό leaner είτε ξεκίνησαν με μια παλαιότερη έκδοση του REvil.

Επιπλέον, το σύστημα κρυπτογράφησης που χρησιμοποιεί το Ransom Cartel δημιουργεί πολλαπλά ζεύγη δημόσιων και ιδιωτικών κλειδιών καθώς και session secrets – παρόμοια με αυτά που παρατηρήθηκαν σε επιθέσεις της Kaseya με χρήση του REvil.

Ransom Cartel

Μια ενδιαφέρουσα ανακάλυψη είναι ότι τα δείγματα του Ransom Cartel δεν διαθέτουν το strong obfuscation του REvil όπως παλαιότερα, πράγμα που σημαίνει ότι οι δημιουργοί του νέου malware πιθανώς δεν έχουν πρόσβαση στην αρχική μηχανή obfuscation του REvil.

Δείτε επίσης: Medibank: Η αυστραλιανή ασφαλιστική εταιρεία επιβεβαιώνει επίθεση ransomware

Επιχειρήσεις του Ransom Cartel 

Αν και τόσο το REvil όσο και το Ransom Cartel χρησιμοποιούν επιθέσεις διπλού εκβιασμού, μεγάλες απαιτήσεις λύτρων και ένα site διαρροής δεδομένων για να πιέσουν τα θύματα να πληρώσουν, μόνο το Ransom Cartel έχει παρατηρηθεί να χρησιμοποιεί το Windows Data Protection API (DPAPI) για να κλέψει credentials. Αυτό είναι μόνο ένα παράδειγμα του πώς οι τακτικές των δύο ομάδων διαφέρουν μεταξύ τους.

Το Ransom Cartel χρησιμοποιεί ένα εργαλείο, το DonPAPI, για να ανιχνεύει μηχανήματα για DPAPI blobs που μπορεί να περιέχουν κλειδιά Wi-Fi, κωδικούς πρόσβασης RDP και credentials που έχουν αποθηκευτεί σε προγράμματα περιήγησης στο web. Αυτά τα ανακτηθέντα στοιχεία χρησιμοποιούνται στη συνέχεια για τον έλεγχο ταυτοποίησης σε vCenter web interfaces και την παραβίαση server Linux ESXi. Από εδώ, οι απειλητικοί φορείς μπορούν να τερματίσουν VMs και διεργασίες που σχετίζονται με αρχεία VMware (.log/.vmdk/.vmem/.vswp/.nvmm) και να κρυπτογραφήσουν όλα τα αρχεία .vmsn.

Το γεγονός ότι το Ransom Cartel χρησιμοποιεί το DonPAPI, ένα εργαλείο που δεν χρησιμοποιείται από πολλούς, υποδηλώνει ότι οι χειριστές έχουν εμπειρία σε αυτόν τον τομέα.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS