Expertos de Palo Alto Network analizaron el ransomware del grupo de hackers Ransom Cartel y creen que es muy similar al malware REvil. Aunque no hay pruebas concluyentes de una conexión entre estos grupos, Investigadores creen que ex miembros de REvil podrían haber fundado el Cartel Ransom.
Déjame recordarte que REVOLVER fue uno de los grupos de extorsión más grandes y famosos. En particular, REvil es responsable de la piratería de alto perfil del proveedor de soluciones MSP Cajero en 2021, así como el ataque sobre el mayor productor de carne del mundo, JBS.
Incluso hubo un tiempo en que El portavoz de REvil se jactó de que los piratas informáticos tienen acceso a sistemas de lanzamiento de misiles balísticos.
La aparente actividad del grupo cesó en enero 2022, después de la ruso FSB Anunciado el arresto de 14 personas asociadas con el grupo de pirateo, y se realizaron búsquedas en 25 direcciones en moscú, Calle. Regiones de Petersburgo y Lipetsk. Al mismo tiempo, se informó que «la base de las actividades de búsqueda fue la apelación de las autoridades estadounidenses competentes.»
Luego, el tribunal de Moscú detuvo a ocho presuntos miembros del grupo de hackers.. Todos ellos fueron acusados de adquisición y posesión de fondos electrónicos destinados a la transferencia ilegal de fondos realizada por un grupo organizado..
Más tarde, medios rusos reportado que la investigación del caso penal casi había llegado a un callejón sin salida, ya que las autoridades estadounidenses se negaron a seguir cooperando con Rusia debido a la invasión del ejército de Putin en Ucrania, y solo pudieron acusar a los sospechosos de fraude con las tarjetas bancarias de dos mexicanos residentes en Estados Unidos.
En diciembre 2021, un nuevo Cartel de rescate ransomware apareció en escena, cual, como ya señalaron los expertos, es en muchos aspectos similar al malware REvil. Ahora el malware ha sido estudiado por Red de Palo Alto analistas, y también escriben sobre una posible conexión entre los dos grupos..
El hecho es que el código fuente del cifrador REvil nunca se ha "filtrado" ni se ha distribuido abiertamente.. Eso es, en cualquier proyecto nuevo que utilice fuentes similares, inmediatamente sospechan de un cambio de marca de REvil, o una nueva amenaza, en cuyos orígenes se encuentran ex miembros de REvil.
Al analizar el malware Ransom Cartel, los investigadores encontraron similitudes en la estructura de configuración del malware, aunque las ubicaciones de almacenamiento difieren. Así que, faltan algunos valores de configuración en el código de Ransom Cartel, y esto, según los expertos, significa que los autores del malware están intentando hacerlo más compacto, o la versión antigua del malware REvil es la base de este ransomware.
Lo más fuerte de las similitudes entre los dos ransomware son los esquemas de cifrado que utilizan.. Las muestras de Ransom Cartel también generan múltiples pares de claves y secretos públicos y privados., casi idéntico al complejo sistema utilizado por REvil.
Al mismo tiempo, Las muestras de Ransom Cartel no contienen una ofuscación tan grave como la que se encontró en el malware REvil.. Esto puede significar que los autores del nuevo ransomware no tienen acceso al mecanismo de ofuscación REvil original..
Otra diferencia es que Ransom Cartel usa la API de protección de datos de Windows (DPAPI) por robar credenciales. Para este propósito, el grupo usa lo muy raro donpapi herramienta, que es capaz de buscar hosts para blobs DPAPI que contengan claves de Wi-Fi, Contraseñas RDP, y credenciales almacenadas en los navegadores, y luego descargarlos y descifrarlos localmente en la máquina. Estas credenciales se utilizan luego para comprometer la Linux ESXi servidores y autenticarse contra el vCentro interfaces web.
Curiosamente, a pesar de la falta de filtraciones de códigos fuente de REvil, Ransom Cartel no es el único grupo que utiliza los desarrollos de REvil en sus ataques. Así que, en abril 2022, cuando el mal Colina sitios inesperadamente reanudaron su trabajo, un nuevo BlogXX se descubrió el cifrador, no solo compilado en base al código fuente de REvil, pero también contiene una serie de cambios.
Luego, los expertos en seguridad de la información escribieron que los autores de BlogXX claramente tienen el código fuente de REvil.. Además, cuando los sitios Tor de REvil estaban en funcionamiento nuevamente, Los visitantes pronto fueron redirigidos al sitio BlogXX.. Aunque este recurso era diferente a los sitios REvil anteriores, El hecho de que los sitios antiguos comenzaran a redirigir a los visitantes a los sitios BlogXX sugirió que alguien en el nuevo grupo de piratería tenía acceso a las claves privadas de Tor que les permitían realizar los cambios necesarios..