Novo ransomware baseado em REvil. Um ator de ameaça parece ter redirecionado o ransomware REvil para criar sua própria família de ransomware e, possivelmente, lançar uma oferta de ransomware como serviço (RaaS).
Também conhecido como Sodinokibi, REvil se tornou uma das famílias de ransomware mais proeminentes lá fora, estando envolvido em um grande número de ataques de alto perfil, incluindo aquele contra a JBS , uma das maiores empresa de processamento de carne do mundo.
REvil é oferecido por um ator de ameaças baseado na Europa Oriental / Rússia rastreado como PINCHY SPIDER, que é conhecido por seu negócio RaaS que anteriormente envolvia o ransomware GandCrab, que foi aposentado em junho de 2019, dois meses após o surgimento de REvil .
Pesquisadores da Secureworks® Contador Threat Unit ™ (CTU) investigaram relatórios e observaram que o ransomware LV tem a mesma estrutura de código como Revil . Essa sobreposição pode indicar que o grupo de ameaças cibercriminosas GOLD SOUTHFIELD que opera REvil vendeu o código-fonte, que o código-fonte foi roubado ou que GOLD SOUTHFIELD compartilhou o código com outro grupo de ameaças como parte de uma parceria. A análise CTU ™ confirmou que o grupo de ameaças GOLD NORTHFIELD , que opera LV, substituiu a configuração de uma versão beta do REvil v2.03 para redirecionar o binário REvil para o ransomware LV.
Os pesquisadores da CTU não observaram anúncios de ransomware LV em fóruns clandestinos até esta publicação. No entanto, variações nos IDs de parceiro e campanha nas configurações de LV e a prática de nomear e envergonhar as vítimas podem indicar que o GOLD NORTHFIELD está lançando uma oferta de ransomware-as-a-service (RaaS).
“A análise [Secureworks Counter Threat Unit] confirmou que o grupo de ameaças GOLD NORTHFIELD, que opera o LV, substituiu a configuração de uma versão beta do REvil v2.03 para redirecionar o binário REvil para o ransomware LV”, dizem os pesquisadores.
Além disso, eles observam que o ransomware LV ainda não foi anunciado em fóruns clandestinos, mas as mudanças nos IDs de parceiro e de campanha, bem como “a prática de nomear e envergonhar as vítimas” sugere que o ator da ameaça está preparando seu próprio RaaS oferecendo que envolve LV.
A análise do ransomware LV revelou estrutura de código idêntica e funcionalidade em comparação com REvil, enquanto as mudanças observadas sugerem o uso de um editor hexadecimal para remover certas características do binário. O adversário também substituiu a configuração REvil pela sua própria. O ator da ameaça também teve que contornar os controles anti-adulteração do REvil.
“Se feito corretamente, o binário será executado com sucesso usando a configuração atualizada do LV. Os arquivos no sistema da vítima serão criptografados com chaves de sessão protegidas pela chave pública do LV e as vítimas serão direcionadas ao site de pagamento do resgate do LV por meio da nota de resgate atualizada ”, diz Secureworks.
Ao visitar o site de pagamento, é solicitada à vítima a chave da nota de resgate. Até o momento, os pesquisadores identificaram três domínios Tor especificados nas notas de resgate do LV, mas as tentativas de inserir as chaves necessárias resultaram em erros de HTTP.
Os pesquisadores também descobriram dois sites de vazamento associados ao ransomware LV e descobriram que o ator da ameaça nomeia e envergonha as vítimas, provavelmente em uma tentativa de coagi-las a pagar o resgate. O adversário também publica capturas de tela de arquivos roubados nos sites de vazamento e ameaça tornar as informações roubadas públicas, a menos que a vítima faça contato dentro de 72 horas.
No entanto, de acordo com a Secureworks, o ator da ameaça ainda não publicou nenhuma informação confidencial roubada de suas vítimas.
Conclusão
A análise da CTU revelou que o ransomware LV não é uma família distinta de ransomware; é um ransomware REvil reaproveitado. Ao modificar o binário de uma família prolífica de ransomware, os atores da ameaça GOLD NORTHFIELD aceleraram significativamente sua maturidade dentro do ecossistema de ransomware. Sem gastar recursos no desenvolvimento de ransomware, o grupo pode operar com mais eficiência do que seus concorrentes, ao mesmo tempo em que oferece a melhor oferta de ransomware da categoria, resultando em um modelo de negócios mais lucrativo. A manipulação não autorizada do REvil pelo GOLD NORTHFIELD provavelmente fará com que o GOLD SOUTHFIELD implemente controles anti-violação adicionais e modifique o armazenamento e processamento da configuração para impedir futuras tentativas de sobrescrever a configuração do REvil.
É muito cedo na evolução do GOLD NORTHFIELD para avaliar a ameaça que ele representa. A capacidade de redirecionar o binário REvil sugere que os atores da ameaça têm capacidades técnicas. Além disso, a complexidade necessária para esse reaproveitamento e as variações de configuração nas amostras de LV sugerem que GOLD NORTHFIELD pode ter automatizado o processo. Embora um RaaS para o ransomware LV pudesse fornecer competição direta para a oferta RaaS do GOLD SOUTHFIELD, a falta de uma infraestrutura confiável e organizada necessária para operar uma oferta RaaS bem-sucedida sugere que o GOLD NORTHFIELD tem que expandir suas capacidades e recursos para competir com outras operações de ransomware.
Indicadores de ameaça
Os indicadores de ameaças na Tabela 2 podem ser usados para detectar atividades relacionadas ao ransomware LV. Os domínios podem conter conteúdo malicioso, portanto, considere os riscos antes de abri-los em um navegador.
| Indicador | Modelo | Contexto |
| 6f0b92488eae3ccefc0db7a6b0d652ee | Hash MD5 | Ransomware LV embalado |
| 45adc4224d2ae9fd75b19417ca6913515c5222ee | SHA1 hash | Ransomware LV embalado |
| 457936c28938616495836c472b3389a0870574bee6 a5dc026d5bd14979c6202c |
Hash SHA256 | Ransomware LV embalado |
| 58682ca2a49ed4bfb8d5aaf76cf0fade | Hash MD5 | Ransomware LV embalado |
| b00d58e9ffd784db86e77a6a31c76e1bd58ba79b | SHA1 hash | Ransomware LV embalado |
| ab2f84103e95806b25c6d163d6210a21fb3283cd29 dddee917d33e654d733425 |
Hash SHA256 | Ransomware LV embalado |
| 7b1cf5fc0bfb1021fe0e14e518c32026 | Hash MD5 | Ransomware LV embalado |
| 380cd990a9e5aec85233ef1d2635dc04d5a96e6b | SHA1 hash | Ransomware LV embalado |
| d4fc76bf8baae39feec23990857c52199e80265a34 faeece0d830eb77645c944 |
Hash SHA256 | Ransomware LV embalado |
| a4331ff805b0a8f2a2892777c224b65e | Hash MD5 | Ransomware LV embalado |
| 2c5521077dd1a6f5f3558351370880aee9ab7c71 | SHA1 hash | Ransomware LV embalado |
| 329983dc2a23bd951b24780947cb9a6ae3fb80d5ef 546e8538dfd9459b176483 |
Hash SHA256 | Ransomware LV embalado |
| fa8117afd2dbd20513522f2f8e991262 | Hash MD5 | Ransomware LV embalado |
| f7b876edb8fc0c83fd8b665d3c5a1050d4396302 | SHA1 hash | Ransomware LV embalado |
| 78b592a2710d81fa91235b445f674ee804db39c8cc 34f7e894b4e7b7f6eacaff |
Hash SHA256 | Ransomware LV embalado |
| d1c9c12e08c8e2111da989e2318b1c42 | Hash MD5 | Ransomware LV descompactado |
| d0c7f3c8de28d0fccec9d4925afeb5fa9dd62b5d | SHA1 hash | Ransomware LV descompactado |
| e25eaaac03aa958688cbe950275156169eb4955e14 5bc9627fcbfb36cd832a84 |
Hash SHA256 | Ransomware LV descompactado |
| 4to43yp4mng2gdc3jgnep5bt7lkhqvjqiritbv4x2e bj3qun7wz4y2id.onion |
Nome do domínio | Site de pagamento de ransomware LV |
| l55ysq5qjpin2vq23ul3gc3h62vp4wvenl7ov6fcn6 5vir7kc7gb5fyd.onion |
Nome do domínio | Site de pagamento de ransomware LV |
| 36yvrbzhbzyuzia7qxahsaw2yizcr3heljw2jtde3s myuhkokjnb2sid.onion |
Nome do domínio | Site de pagamento de ransomware LV |
| rbvuetuneohce3ouxjlbxtimyyxokb4btncxjbo44f bgxqy7tskinwad.onion |
Nome do domínio | Local de vazamento de ransomware LV |
| 4qbxi3i2oqmyzxsjg4fwe4aly3xkped52gq5orp6ef pkeskvchqe27id.onion |
Nome do domínio | Local de vazamento de ransomware LV |
Indicadores para esta ameaça.
Fonte: SecurityWeek & SecureWorks