Novo ransomware baseado em REvil

Novo ransomware baseado em REvil. Um ator de ameaça parece ter redirecionado o ransomware REvil para criar sua própria família de ransomware e, possivelmente, lançar uma oferta de ransomware como serviço (RaaS).

Também conhecido como Sodinokibi, REvil se tornou uma das famílias de ransomware mais proeminentes lá fora, estando envolvido em um grande número de ataques de alto perfil, incluindo aquele contra a JBS , uma das maiores empresa de processamento de carne do mundo.

REvil é oferecido por um ator de ameaças baseado na Europa Oriental / Rússia rastreado como PINCHY SPIDER, que é conhecido por seu negócio RaaS que anteriormente envolvia o ransomware GandCrab, que foi aposentado em junho de 2019, dois meses após o surgimento de REvil .

Pesquisadores da Secureworks® Contador Threat Unit ™ (CTU) investigaram relatórios e observaram que o ransomware LV tem a mesma estrutura de código como Revil . Essa sobreposição pode indicar que o grupo de ameaças cibercriminosas GOLD SOUTHFIELD que opera REvil vendeu o código-fonte, que o código-fonte foi roubado ou que GOLD SOUTHFIELD compartilhou o código com outro grupo de ameaças como parte de uma parceria. A análise CTU ™ confirmou que o grupo de ameaças GOLD NORTHFIELD , que opera LV, substituiu a configuração de uma versão beta do REvil v2.03 para redirecionar o binário REvil para o ransomware LV.

Os pesquisadores da CTU não observaram anúncios de ransomware LV em fóruns clandestinos até esta publicação. No entanto, variações nos IDs de parceiro e campanha nas configurações de LV e a prática de nomear e envergonhar as vítimas podem indicar que o GOLD NORTHFIELD está lançando uma oferta de ransomware-as-a-service (RaaS).

A análise [Secureworks Counter Threat Unit] confirmou que o grupo de ameaças GOLD NORTHFIELD, que opera o LV, substituiu a configuração de uma versão beta do REvil v2.03 para redirecionar o binário REvil para o ransomware LV”, dizem os pesquisadores.

Além disso, eles observam que o ransomware LV ainda não foi anunciado em fóruns clandestinos, mas as mudanças nos IDs de parceiro e de campanha, bem como “a prática de nomear e envergonhar as vítimas” sugere que o ator da ameaça está preparando seu próprio RaaS oferecendo que envolve LV.

A análise do ransomware LV revelou estrutura de código idêntica e funcionalidade em comparação com REvil, enquanto as mudanças observadas sugerem o uso de um editor hexadecimal para remover certas características do binário. O adversário também substituiu a configuração REvil pela sua própria. O ator da ameaça também teve que contornar os controles anti-adulteração do REvil.

Se feito corretamente, o binário será executado com sucesso usando a configuração atualizada do LV. Os arquivos no sistema da vítima serão criptografados com chaves de sessão protegidas pela chave pública do LV e as vítimas serão direcionadas ao site de pagamento do resgate do LV por meio da nota de resgate atualizada ”, diz Secureworks.

Ao visitar o site de pagamento, é solicitada à vítima a chave da nota de resgate. Até o momento, os pesquisadores identificaram três domínios Tor especificados nas notas de resgate do LV, mas as tentativas de inserir as chaves necessárias resultaram em erros de HTTP.

Os pesquisadores também descobriram dois sites de vazamento associados ao ransomware LV e descobriram que o ator da ameaça nomeia e envergonha as vítimas, provavelmente em uma tentativa de coagi-las a pagar o resgate. O adversário também publica capturas de tela de arquivos roubados nos sites de vazamento e ameaça tornar as informações roubadas públicas, a menos que a vítima faça contato dentro de 72 horas.

No entanto, de acordo com a Secureworks, o ator da ameaça ainda não publicou nenhuma informação confidencial roubada de suas vítimas.

Conclusão

A análise da CTU revelou que o ransomware LV não é uma família distinta de ransomware; é um ransomware REvil reaproveitado. Ao modificar o binário de uma família prolífica de ransomware, os atores da ameaça GOLD NORTHFIELD aceleraram significativamente sua maturidade dentro do ecossistema de ransomware. Sem gastar recursos no desenvolvimento de ransomware, o grupo pode operar com mais eficiência do que seus concorrentes, ao mesmo tempo em que oferece a melhor oferta de ransomware da categoria, resultando em um modelo de negócios mais lucrativo. A manipulação não autorizada do REvil pelo GOLD NORTHFIELD provavelmente fará com que o GOLD SOUTHFIELD implemente controles anti-violação adicionais e modifique o armazenamento e processamento da configuração para impedir futuras tentativas de sobrescrever a configuração do REvil.

É muito cedo na evolução do GOLD NORTHFIELD para avaliar a ameaça que ele representa. A capacidade de redirecionar o binário REvil sugere que os atores da ameaça têm capacidades técnicas. Além disso, a complexidade necessária para esse reaproveitamento e as variações de configuração nas amostras de LV sugerem que GOLD NORTHFIELD pode ter automatizado o processo. Embora um RaaS para o ransomware LV pudesse fornecer competição direta para a oferta RaaS do GOLD SOUTHFIELD, a falta de uma infraestrutura confiável e organizada necessária para operar uma oferta RaaS bem-sucedida sugere que o GOLD NORTHFIELD tem que expandir suas capacidades e recursos para competir com outras operações de ransomware.

Indicadores de ameaça

Os indicadores de ameaças na Tabela 2 podem ser usados ​​para detectar atividades relacionadas ao ransomware LV. Os domínios podem conter conteúdo malicioso, portanto, considere os riscos antes de abri-los em um navegador.

Indicador Modelo Contexto
6f0b92488eae3ccefc0db7a6b0d652ee Hash MD5 Ransomware LV embalado
45adc4224d2ae9fd75b19417ca6913515c5222ee SHA1 hash Ransomware LV embalado
457936c28938616495836c472b3389a0870574bee6
a5dc026d5bd14979c6202c
Hash SHA256 Ransomware LV embalado
58682ca2a49ed4bfb8d5aaf76cf0fade Hash MD5 Ransomware LV embalado
b00d58e9ffd784db86e77a6a31c76e1bd58ba79b SHA1 hash Ransomware LV embalado
ab2f84103e95806b25c6d163d6210a21fb3283cd29
dddee917d33e654d733425
Hash SHA256 Ransomware LV embalado
7b1cf5fc0bfb1021fe0e14e518c32026 Hash MD5 Ransomware LV embalado
380cd990a9e5aec85233ef1d2635dc04d5a96e6b SHA1 hash Ransomware LV embalado
d4fc76bf8baae39feec23990857c52199e80265a34
faeece0d830eb77645c944
Hash SHA256 Ransomware LV embalado
a4331ff805b0a8f2a2892777c224b65e Hash MD5 Ransomware LV embalado
2c5521077dd1a6f5f3558351370880aee9ab7c71 SHA1 hash Ransomware LV embalado
329983dc2a23bd951b24780947cb9a6ae3fb80d5ef
546e8538dfd9459b176483
Hash SHA256 Ransomware LV embalado
fa8117afd2dbd20513522f2f8e991262 Hash MD5 Ransomware LV embalado
f7b876edb8fc0c83fd8b665d3c5a1050d4396302 SHA1 hash Ransomware LV embalado
78b592a2710d81fa91235b445f674ee804db39c8cc
34f7e894b4e7b7f6eacaff
Hash SHA256 Ransomware LV embalado
d1c9c12e08c8e2111da989e2318b1c42 Hash MD5 Ransomware LV descompactado
d0c7f3c8de28d0fccec9d4925afeb5fa9dd62b5d SHA1 hash Ransomware LV descompactado
e25eaaac03aa958688cbe950275156169eb4955e14
5bc9627fcbfb36cd832a84
Hash SHA256 Ransomware LV descompactado
4to43yp4mng2gdc3jgnep5bt7lkhqvjqiritbv4x2e
bj3qun7wz4y2id.onion
Nome do domínio Site de pagamento de ransomware LV
l55ysq5qjpin2vq23ul3gc3h62vp4wvenl7ov6fcn6
5vir7kc7gb5fyd.onion
Nome do domínio Site de pagamento de ransomware LV
36yvrbzhbzyuzia7qxahsaw2yizcr3heljw2jtde3s
myuhkokjnb2sid.onion
Nome do domínio Site de pagamento de ransomware LV
rbvuetuneohce3ouxjlbxtimyyxokb4btncxjbo44f
bgxqy7tskinwad.onion
Nome do domínio Local de vazamento de ransomware LV
4qbxi3i2oqmyzxsjg4fwe4aly3xkped52gq5orp6ef
pkeskvchqe27id.onion
Nome do domínio Local de vazamento de ransomware LV

Indicadores para esta ameaça.

Fonte: SecurityWeek & SecureWorks

Imprimir