Постачальник ІТ-безпеки Palo Alto Networks і його команда аналізу зловмисного програмного забезпечення Unit42 повідомляють про нові висновки щодо «картелю викупу» — постачальника програм-вимагачів як послуг (RaaS), які вперше з’явилися в середині грудня 2021 року. Технічно це збігається з програмою-вимагачем REvil.
Ця група злочинців виконує подвійні атаки програм-вимагачів і має кілька подібностей і технічних збігів із програмами-вимагачами REvil. Програми-вимагачі REvil зникли всього за кілька місяців до появи картелю програм-вимагачів і лише через місяць після того, як 14 підозрюваних учасників були арештовані в Росії. Коли Ransom Cartel вперше з’явився, було незрозуміло, чи це був ребрендинг REvil, чи незалежний суб’єкт загрози повторно використовує чи імітує код програми-вимагача REvil.
Програма-вимагач Ransom-Cartel аналізується
Palo Alto Networks і Unit42 представляють програму-вимагач Ransom-Cartel і оцінку можливих зв’язків між REvil і програмою-вимагачем Ransom-Cartel у своєму останньому аналізі. У жовтні 2021 року навколо операторів REvil стало тихо. Сайт витоку темної мережі REvil став недоступним. Приблизно в середині квітня 2022 року окремі дослідники безпеки та ЗМІ повідомили про нову подію в REvil, яка може означати повернення банди.
Паралельно програма-вимагач Palo Alto Networks вперше виявила Cartel приблизно в середині січня 2022 року. Дослідники безпеки з MalwareHunterTeam вважають, що група працює принаймні з грудня 2021 року. Вони спостерігали за першою відомою діяльністю Ransom Cartel і знайшли кілька подібностей і технічних збігів із програмою-вимагачем REvil. Підрозділ 42 також спостерігав за угрупованнями картелів з викупу, націлених на організації, перші відомі жертви яких ми спостерігали в січні 2022 року в США та Франції. Картель Ransom націлився на організації в таких галузях: освіта, виробництво та комунальні послуги та енергетика.
Програмне забезпечення-вимагач як послуга як бізнес
Злочинці, що стоять за Ransom Cartel, — це актори, які пропонують продати скомпрометований доступ до мережі. Їхня мотивація полягає не в тому, щоб самі здійснювати кібератаки, а в тому, щоб продати доступ іншим суб’єктам загрози. Враховуючи прибутковість програм-вимагачів, ці брокери, ймовірно, матимуть робочі відносини з групами RaaS залежно від суми, яку вони готові заплатити. Підрозділ 42 бачив докази того, що Ransom Cartel покладався на ці типи послуг, щоб отримати початковий доступ для доставки програм-вимагачів.
Висновок експертів з безпеки
Ransom Cartel — одна з багатьох сімей програм-вимагачів, які з’явилися у 2021 році. У той час як Ransom Cartel використовує подвійний шантаж і деякі з тих самих TTP, які часто зустрічаються під час атак програм-вимагачів, цей тип програм-вимагачів використовує менш поширені інструменти – наприклад, DonPAPI – яких раніше не було в інших атаках програм-вимагачів.
Очевидно, що оператори Ransom Cartel мали доступ до оригінального вихідного коду програми-вимагача REvil. Однак, здається, вони не мають механізму обфускації, який шифрує або приховує рядки та виклики API. Тому експерти з безпеки припускають, що оператори картелю викупу мали певні стосунки з групою REvil перед тим, як почати власну операцію.
Подальші оцінки групи та технічну інформацію можна знайти в Інтернеті на Unit42.
Більше на PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.
Одна думка про "Програмне забезпечення-вимагач як послуга Ransom Cartel походить від REvil?"
Коментарі закриті