0
0
Um ator de ameaça parece ter reaproveitado o ransomware REvil para criar sua própria família de ransomware e possivelmente lançar uma oferta de ransomware como serviço (RaaS).
Também conhecida como Sodinokibi, a REvil se tornou uma das famílias de ransomware mais proeminentes do mercado, estando envolvida em um grande número de ataques de alto nível, incluindo o da JBS, a maior empresa de processamento de carne do mundo.
REvil é oferecido por um ator de ameaças baseado na Europa Oriental/Rússia rastreado como PINCHY SPIDER, conhecido por seus negócios RaaS que anteriormente envolviam o ransomware GandCrab, que foi aposentado em junho de 2019, dois meses após o surgimento do REvil.
Na terça-feira, pesquisadores de segurança da Secureworks, que rastreia os operadores da REvil como GOLD SOUTHFIELD, revelaram que uma nova família de ransomware que está fazendo as rondas parece ser nada mais do que uma iteração REvil reaproveitada criada por um ator de ameaça conhecido como GOLD NORTHFIELD.
“A análise [Secureworks Counter Threat Unit] confirmou que o grupo de ameaças GOLD NORTHFIELD, que opera o LV, substituiu a configuração de uma versão beta do REvil v2.03 para reutilizar o binário REvil para o ransomware LV”, dizem os pesquisadores.
Além disso, eles observam que o ransomware LV ainda não foi anunciado em fóruns subterrâneos, mas mudanças nos IDs de parceiros e campanhas, bem como “a prática de nomear e envergonhar vítimas”, sugerem que o ator da ameaça está preparando sua própria oferta RaaS que envolve LV.
A análise do ransomware LV revelou estrutura de código e funcionalidade idênticas em comparação com o REvil, enquanto as mudanças observadas sugeririam o uso de um editor hexadecimal para remover certas características do binário. O adversário também substituiu a configuração REvil pela sua própria. O ator da ameaça também teve que ignorar os controles antiviolação do REvil.
“Se feito corretamente, o binário será executado com sucesso usando a configuração atualizada do LV. Os arquivos no sistema da vítima serão criptografados com chaves de sessão protegidas pela chave pública da LV, e as vítimas serão direcionadas para o site de pagamento de resgate da LV por meio da nota de resgate atualizada ”, diz Secureworks.
Ao visitar o site de pagamento, a vítima é solicitada a fornecer a chave da nota de resgate. Até o momento, os pesquisadores identificaram três domínios Tor especificados nas notas de resgate do LV, mas as tentativas de inserir as chaves necessárias resultaram em erros HTTP.
Os pesquisadores também descobriram dois sites de vazamento associados ao ransomware LV e descobriram que o ator da ameaça nomeia e envergonha as vítimas, provavelmente em uma tentativa de coagi-las a pagar o resgate. O adversário também publica capturas de tela de arquivos roubados nos sites de vazamento e ameaça tornar públicas as informações roubadas, a menos que a vítima entre em contato dentro de 72 horas.
No entanto, de acordo com a Secureworks, o ator da ameaça ainda não publicou nenhuma informação sensível roubada de suas vítimas.
FONTE: SECURITY WEEK