Програмне забезпечення-вимагач як послуга Ransom Cartel походить від REvil?

18. Листопад 2022
| Ein Kommentar
Короткі новини про кібербезпеку B2B

Поділіться публікацією

Постачальник ІТ-безпеки Palo Alto Networks і його команда аналізу зловмисного програмного забезпечення Unit42 повідомляють про нові висновки щодо «картелю викупу» — постачальника програм-вимагачів як послуг (RaaS), які вперше з’явилися в середині грудня 2021 року. Технічно це збігається з програмою-вимагачем REvil.

Ця група злочинців виконує подвійні атаки програм-вимагачів і має кілька подібностей і технічних збігів із програмами-вимагачами REvil. Програми-вимагачі REvil зникли всього за кілька місяців до появи картелю програм-вимагачів і лише через місяць після того, як 14 підозрюваних учасників були арештовані в Росії. Коли Ransom Cartel вперше з’явився, було незрозуміло, чи це був ребрендинг REvil, чи незалежний суб’єкт загрози повторно використовує чи імітує код програми-вимагача REvil.

Програма-вимагач Ransom-Cartel аналізується

Palo Alto Networks і Unit42 представляють програму-вимагач Ransom-Cartel і оцінку можливих зв’язків між REvil і програмою-вимагачем Ransom-Cartel у своєму останньому аналізі. У жовтні 2021 року навколо операторів REvil стало тихо. Сайт витоку темної мережі REvil став недоступним. Приблизно в середині квітня 2022 року окремі дослідники безпеки та ЗМІ повідомили про нову подію в REvil, яка може означати повернення банди.

Паралельно програма-вимагач Palo Alto Networks вперше виявила Cartel приблизно в середині січня 2022 року. Дослідники безпеки з MalwareHunterTeam вважають, що група працює принаймні з грудня 2021 року. Вони спостерігали за першою відомою діяльністю Ransom Cartel і знайшли кілька подібностей і технічних збігів із програмою-вимагачем REvil. Підрозділ 42 також спостерігав за угрупованнями картелів з викупу, націлених на організації, перші відомі жертви яких ми спостерігали в січні 2022 року в США та Франції. Картель Ransom націлився на організації в таких галузях: освіта, виробництво та комунальні послуги та енергетика.

Програмне забезпечення-вимагач як послуга як бізнес

Злочинці, що стоять за Ransom Cartel, — це актори, які пропонують продати скомпрометований доступ до мережі. Їхня мотивація полягає не в тому, щоб самі здійснювати кібератаки, а в тому, щоб продати доступ іншим суб’єктам загрози. Враховуючи прибутковість програм-вимагачів, ці брокери, ймовірно, матимуть робочі відносини з групами RaaS залежно від суми, яку вони готові заплатити. Підрозділ 42 бачив докази того, що Ransom Cartel покладався на ці типи послуг, щоб отримати початковий доступ для доставки програм-вимагачів.

Висновок експертів з безпеки

Ransom Cartel — одна з багатьох сімей програм-вимагачів, які з’явилися у 2021 році. У той час як Ransom Cartel використовує подвійний шантаж і деякі з тих самих TTP, які часто зустрічаються під час атак програм-вимагачів, цей тип програм-вимагачів використовує менш поширені інструменти – наприклад, DonPAPI – яких раніше не було в інших атаках програм-вимагачів.

Очевидно, що оператори Ransom Cartel мали доступ до оригінального вихідного коду програми-вимагача REvil. Однак, здається, вони не мають механізму обфускації, який шифрує або приховує рядки та виклики API. Тому експерти з безпеки припускають, що оператори картелю викупу мали певні стосунки з групою REvil перед тим, як почати власну операцію.

Подальші оцінки групи та технічну інформацію можна знайти в Інтернеті на Unit42.

Більше на PaloAltoNetworks.com

 

Про Palo Alto Networks

Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.

 

Статті по темі

Звіт: на 40 відсотків більше фішингу в усьому світі

Поточний звіт про спам і фішинг від Касперського за 2023 рік говорить сам за себе: користувачі в Німеччині прагнуть ➡ Читати далі

BSI встановлює мінімальні стандарти для веб-браузерів

BSI переглянув мінімальний стандарт для веб-браузерів для адміністрування та опублікував версію 3.0. Ви можете це запам'ятати ➡ Читати далі

Стелс-шкідливе програмне забезпечення спрямоване на європейські компанії

Хакери атакують багато компаній по всій Європі за допомогою прихованого шкідливого програмного забезпечення. Дослідники ESET повідомили про різке збільшення так званих атак AceCryptor через ➡ Читати далі

ІТ-безпека: основу для LockBit 4.0 знешкоджено

Trend Micro, працюючи з Національним агентством зі злочинності Великобританії (NCA), проаналізували неопубліковану версію, яка перебувала в розробці. ➡ Читати далі

MDR та XDR через Google Workspace

У кафе, терміналі аеропорту чи домашньому офісі – співробітники працюють у багатьох місцях. Однак цей розвиток також несе проблеми ➡ Читати далі

Тест: програмне забезпечення безпеки для кінцевих точок і окремих ПК

Останні результати тестування лабораторії AV-TEST показують дуже хорошу продуктивність 16 визнаних рішень захисту для Windows ➡ Читати далі

AI на Enterprise Storage бореться з програмами-вимагачами в реальному часі

NetApp є однією з перших, хто інтегрував штучний інтелект (AI) і машинне навчання (ML) безпосередньо в основне сховище для боротьби з програмами-вимагачами. ➡ Читати далі

ФБР: Звіт про злочини в Інтернеті нараховує збитки на 12,5 мільярдів доларів 

Центр скарг на злочини в Інтернеті ФБР (IC3) опублікував Звіт про злочини в Інтернеті за 2023 рік, який містить інформацію з понад 880.000 тис. ➡ Читати далі

Короткі новини
, , , , , ,