ΑρχικήsecurityNevada Ransomware: Στοχεύει τα Windows και VMware ESXi

Nevada Ransomware: Στοχεύει τα Windows και VMware ESXi

Η δράση του Nevada ransomware είναι σχετικά καινούργια, παρουσιάζει όμως σημάδια ταχείας ανάπτυξης στις δυνατότητες του – καθώς ερευνητές ασφαλείας, παρατήρησαν βελτιωμένη λειτουργικότητα του ransomware να στοχεύει τα Windows συστήματα και VMware ESXi.

Το Nevada ransomware διαφημίστηκε για πρώτη φορά στα φόρουμ του darknet RAMP στις 10 Δεκεμβρίου 2022 και προσκαλεί ρωσόφωνους και κινεζόφωνους cybercriminals να συμμετάσχουν στην επιχείρηση τους – θα λαμβάνουν ως μερίδιο, από 85% έως το 90% των πληρωμών λύτρων που θα εισπράττουν, αναλόγως με τα «θύματα» που θα φέρουν.

Δείτε επίσης: Η νέα πλατφόρμα DDoS-as-a-Service Passion χρησιμοποιήθηκε σε πρόσφατες επιθέσεις σε νοσοκομεία

Nevada ransomware Vmware ESXi Windows

Το RAMP είναι μια πλατφόρμα που έχει συνδεθεί στο παρελθόν με Ρώσους και Κινέζους χάκερς που προωθούν τις επιχειρήσεις τους στον τομέα του κυβερνοεγκλήματος και για την επικοινωνία τους με άλλους του ίδιου χώρου.

Το Nevada ransomware είναι εξοπλισμένο με ένα τύπου-Rust “locker”, ένα real time chatting portal για διαπραγματεύσεις και ξεχωριστά domains στο Tor δίκτυο, τόσο για τους συνεργάτες όσο και για τα θύματα.
Οι ερευνητές ασφαλείας της Resecurity ανέλυσαν το νέο malware και δημοσίευσαν μια έκθεση με τα ευρήματά τους. Δηλώνουν ότι ενώ το Nevada ransomware αποκλείει συγκεκριμένα τους αγγλόφωνους συνεργάτες, οι χειριστές του είναι πρόθυμοι να συνεργαστούν με αξιόπιστους IAB (Initial Active Brokers) από οποιαδήποτε τοποθεσία.

Οι IAB είναι απειλητικοί παράγοντες που πωλούν σε cybercriminals πρόσβαση σε εταιρικά δίκτυα.

Στοχεύοντας τα Windows
Η παραλλαγή του ransomware Nevada που επικεντρώνεται στα Windows, εκτελείται μέσω του console και υποστηρίζει αρκετά flags που παρέχει στους χειριστές του ένα βαθμό έλεγχο στη διαδικασία της κρυπτογράφησης:

-file > κρυπτογράφηση επιλεγμένου αρχείου
-dir > κρυπτογράφηση επιλεγμένου καταλόγου
-sd > αυτόματη διαγραφή μετά την ολοκλήρωση όλων των ενεργειών
-sc > διαγραφή «shadow» αντιγράφων
-lhd > loading κρυφών δίσκων
-nd > εύρεση και κρυπτογράφηση κοινόχρηστων αρχείων του δικτύου
-sm > safe mode κρυπτογράφηση

Ένα ενδιαφέρον χαρακτηριστικό του ransomware Nevada είναι το σύνολο των περιοχών που «δεν επιτίθενται». Συνήθως, οι ransomware ομάδες αποκλείουν τη Ρωσία και τις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS).
Εδώ όμως, ο κατάλογος επεκτείνεται στην Αλβανία, την Ουγγαρία, το Βιετνάμ, τη Μαλαισία, την Ταϊλάνδη, την Τουρκία και το Ιράν.

Το payload που φορτώνεται, χρησιμοποιεί το MPR.dll και συλλέγει πληροφορίες σχετικά με τους πόρους του δικτύου, προσθέτοντας κοινόχρηστα directories στην «ουρά» κρυπτογράφησης.
Σε κάθε δίσκο, κρυφό ή φανερό ανατίθεται ένα γράμμα και όλα τα αρχεία σε αυτά προστίθενται επίσης στην ουρά.

Στη συνέχεια, εγκαθίσταται κρυπτογράφος ως service και στη συνέχεια το παραβιασμένο σύστημα θα κάνει reboot σε safe mode με ενεργή σύνδεση δικτύου.

Το “locker” χρησιμοποιεί τον Salsa20 αλγόριθμο για να εκτελεί τη νέα τακτική κρυπτογράφησης intermittent encryption σε αρχεία μεγαλύτερα από 512KB για ταχύτερα αποτελέσματα.

Το Nevada ransomware  αποκλείει ορισμένα αρχεία από την κρυπτογράφηση, όπως τα .exe, DLLs, LNKs, SCRs, URLs και αρχεία INI που βρίσκονται στο System των Windows ή στα Program Files του χρήστη.
Αυτό γίνεται προκειμένου να αποτρέψει κάποια τυχόν αδυναμία στην εκκίνηση του υπολογιστή.

Δείτε επίσης: Google Fi: Παραβίαση δεδομένων επιτρέπει SIM swapping επιθέσεις

Στο τέλος, τα αρχεία λαμβάνουν την επέκταση “.NEVADA”
Κάθε φάκελος που επηρεάζεται από το ransomware περιέχει ένα σημείωμα λύτρων που δίνει στα θύματα προθεσμία πέντε ημερών για να ικανοποιήσουν τις αναγραφόμενες απαιτήσεις. Τα κλεμμένα δεδομένα ειδάλλως, θα δημοσιευτούν στο site “διαρροής δεδομένων” του Nevada.

Στοχεύοντας τα Vmware ESXi
H έκδοση για Linux/VMware ESXi χρησιμοποιεί τον ίδιο αλγόριθμο κρυπτογράφησης, τον Salsa20, με αυτή των Windows και χρησιμοποιεί μια σταθερή μεταβλητή, μια προσέγγιση που είχε παρατηρηθεί προηγουμένως στο Petya ransomware.

Ακριβώς όπως και η έκδοση των Windows, το Linux “locker” χρησιμοποιεί την ίδια τακτική κρυπτογράφησης  intermittent encryption, κρυπτογραφώντας πλήρως μόνο τα αρχεία που είναι μικρότερα από 512KB.

Υπάρχει ένα bug στη Linux έκδοση όπου παραλείπει όλα τα αρχεία που έχουν μέγεθος μεταξύ 512KB και 1,25MB.

Το Linux “locker” υποστηρίζει τα ακόλουθα arguments:

-help > help
-daemon > δημιουργία και εκκίνηση μιας υπηρεσίας ‘nevada’
-file > κρυπτογράφηση συγκεκριμένου αρχείου
-dir > κρυπτογράφηση συγκεκριμένου φακέλου
-esxi > απενεργοποίηση όλων των virtual machine

Στα Linux, το public κλειδί αποθηκεύεται στο τέλος των κρυπτογραφημένων αρχείων.

Η Resecurity αναφέρει ότι οι κοινές ομοιότητες με το ransomware Petya που επεκτείνονται σε σφάλματα υλοποίησης της, γεγονός που θα μπορούσε να επιτρέψει την ανάκτηση των δεδομένων χωρίς την καταβολή των λύτρων.

Nevada ransomware Vmware ESXi Windows

Το Nevada ransomware εξακολουθεί να αναπτύσσει το δίκτυο του και των ΙΑΒ και αναζητά εξειδικευμένους χάκερ.
Η Resecurity παρατήρησε ότι οι χειριστές του ransomware Nevada αγοράζουν πρόσβαση σε εκτεθειμένα endpoints και απασχολούν μια εξειδικευμένη ομάδα για να πραγματοποιήσουν την «εισβολή».

Οι ερευνητές υπογράμμισαν ότι η απειλή αυτή θα συνεχίζει να αναπτύσσεται και πρέπει να παρακολουθείται.

Πηγή πληροφοριών: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS