Эксперты из Palo Alto Network провели анализ шифровальщика хакерской группы Ransom Cartel и считают, что он весьма похож на малварь REvil. Хотя неопровержимых доказательств связи между этими группировками пока нет, исследователи считают, что Ransom Cartel могли основать бывшие участники REvil.

Напомню, что REvil была одной из наиболее крупных и известных вымогательских группировок. В частности, именно REvil ответственна за громкий взлом поставщика MSP-решений Kaseya в 2021 году, а также атаку на крупнейшего в мире производителя мяса, компанию JBS.

Активность группы прекратилась в январе 2022 года, после того как ФСБ объявило об аресте 14 человек, связанных с хак-группой, а по 25 адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях прошли обыски. При этом сообщалось, что «основанием для розыскных мероприятий послужило обращение компетентных органов США».

Тогда Тверской суд Москвы заключил под стражу восемь предполагаемых участников хак-группы. Всем им были предъявлены обвинения в приобретении и хранении электронных средств, предназначенных для неправомерного осуществления перевода денежных средств, совершенных организованной группой (ч. 2 ст. 187 УК РФ).

Позже СМИ сообщали, что расследование уголовного дела практически зашло в тупик, так как американские власти отказались от дальнейшего сотрудничества с Россией, и обвинить подозреваемых смогли только в махинациях с банковскими картами двух живущих в США мексиканцев.

В декабре 2021 года на сцене появился новый вымогатель Ransom Cartel, который, как уже тогда отмечали специалисты, во многом схож с малварью REvil. Теперь вредоноса изучили аналитики Palo Alto Network, и они так же пишут о возможной связи между двумя группировками.

Дело в том, что исходный код шифровальщика REvil никогда не «утекал» и не распространялся открыто. То есть в любом новым проекте, использующем аналогичные исходники, сразу подозревают либо ребрендинг REvil, либо новую угрозу, у истоков которой стоят бывшие участники REvil.

При анализе малвари Ransom Cartel исследователи обнаружили сходство в структуре конфигурации вредоносов, хотя места хранения различаются. Так, в коде Ransom Cartel отсутствуют некоторые значения конфигурации, и это, по мнению экспертов, означает, что авторы вредоноса либо пытаются сделать его более компактным, либо основой для этого шифровальщика является старая версия малвари REvil.

Сильнее всего о сходстве двух вымогателей говорят схемы шифрования, которые они используют. Образцы Ransom Cartel так же генерируют несколько пар публичных и приватных ключей и секретов, практически полностью повторяя сложную систему, которую использовал REvil.

«Оба шифровальщика используют Salsa20 и Curve25519 для шифрования файлов, и в структуре процедуры шифрования очень мало различий», — пишут исследователи.

При этом в образцах Ransom Cartel нет такой серьезной обфускации, которую обнаруживали в малвари REvil. Это может означать, что авторы нового вымогателя не имеют доступа к оригинальному механизму обфускации REvil.

Еще одним отличием является использование используемый Ransom Cartel для кражи учетных данных Windows Data Protection API (DPAPI). Для этой цели группировка применяет весьма редкий инструмент DonPAPI, который способен искать на хостах блобы DPAPI, содержащие ключи Wi-Fi, пароли RDP и учетные данные, сохраненные в браузерах, а затем загружать и расшифровывать их локально на машине. После эти учетные данные используются для компрометации серверов Linux ESXi и аутентификации в веб-интерфейсах vCenter.

«В настоящее время мы полагаем, что операторы Ransom Cartel имели доступ к более ранним версиям исходного кода программы-вымогателя REvil, но не к последним разработкам. Это говорит о том, что в какой-то момент между группами существовали отношения, хотя, возможно, это было давно», — заключают исследователи.

Интересно, что, невзирая на отсутствие утечек исходных кодов REvil, Ransom Cartel – не единственная группировка, которая использует разработки REvil в своих атаках. Так, в апреле 2022 года, когда Tor-сайты REvil неожиданно возобновили свою работу, был обнаружен новый шифровальщик BlogXX, не только скомпилированный на основе исходного кода REvil, но и содержавший ряд изменений.

Тогда ИБ-эксперты писали, что у авторов BlogXX явно есть исходный код REvil. К тому же когда Tor-сайты REvil вновь заработали, вскоре их посетителей начали перенаправлять на сайт BlogXX. Хотя этот ресурс не был похожи на предыдущие сайты REvil, тот факт, что старые сайты начали перенаправлять посетителей на сайты BlogXX, говорил о том, что кто-то из новой хак-группы имеет доступ к закрытым ключам Tor, которые позволяют вносить нужные изменения.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии