0
0
A Resecurity identificou uma nova versão do Nevada Ransomware que surgiu recentemente na Dark Web pouco antes do início de 2023. Os atores por trás deste novo projeto têm uma plataforma afiliada introduzida pela primeira vez na comunidade subterrânea RAMP, conhecida por corretores de acesso inicial (IABs ) e outros atores cibercriminosos e grupos de ransomware.
Por volta de 1º de fevereiro de 2023 – o grupo distribuiu um armário atualizado escrito em Rust para seus afiliados com suporte a Windows, Linux e ESXi – essa linguagem de programação se tornou uma tendência para desenvolvedores de ransomware atualmente (Blackcat, RansomExx2, Hive, Luna, Agenda). Desde então, essas atualizações forneceram funcionalidade aprimorada e ajustes significativos para melhorar o painel de afiliados. Outra atualização significativa foi identificada por volta de 20 de janeiro – o que pode confirmar como o projeto está se desenvolvendo ativamente. O Nevada Ransomware oferece condições muito atraentes e competitivas – 85% (para parceiro) com um aumento adicional para 90%, assumindo mais progresso. Em 10 de dezembro de 2022 – o ator ‘nebel’ publicou uma postagem na Dark Web descrevendo o novo projeto e, em seguida, convidou novos afiliados.
Notavelmente, os atores também adquirem acesso comprometido para desenvolvimento adicional – é mais do que provável… além de serem desenvolvedores de ransomware, eles também são uma equipe realizando pós-exploração desenvolvendo ponto de comprometimento em invasão de rede completa para atingir o dano máximo. O Resecurity HUNTER (a equipe de pesquisa e inteligência de ameaças) publicou capturas de tela e detalhes exclusivos adquiridos como resultado direto da análise da rede afiliada do Nevada Ransomware. Parte desta pesquisa é baseada no engajamento da Inteligência Humana (HUMINT) com os atores responsáveis por convidar e avaliar novos afiliados.
Os pesquisadores encontraram certas semelhanças com o Petya Ransomware – notavelmente o Nevada Ransomware também está aproveitando o algoritmo de criptografia Salsa20, bem como a estrutura semelhante do armário. De acordo com especialistas, semelhante às versões anteriores do Petya Ransomware, o código tem algumas ‘falhas’ que permitem que alguns arquivos criptografados sejam descriptografados. Os pesquisadores compartilharam suas descobertas e descreveram um possível conceito que pode ser usado para descriptografia.
A Resecurity conseguiu obter acesso ao painel de afiliados do Nevada Ransomware hospedado na rede TOR. No relatório podemos ver o funcionamento interno do ransomware, o espaço de trabalho dos malfeitores fornece uma infinidade de opções, por exemplo, comunicação com a vítima, estatísticas, saldo do resgate e muito mais.
A Resecurity adquiriu versões baseadas em Linux e Windows do Nevada Ransomware e publicou um relatório de engenharia reversa e indicadores de comprometimento (IOCs). Os especialistas esperam um desenvolvimento ativo do grupo em 2023 – por vítimas e por novos afiliados que se juntarão ao projeto.
FONTE: HELPNET SECURITY