最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

勒索卡特尔与臭名昭著的REvil勒索软件操作有关

网络安全 快米云 来源:快米云 154浏览

谩骂

研究人员已将相对较新的 Ransom Cartel 勒索软件操作与臭名昭著的 REvil 团伙联系起来,基于两种操作加密器中的代码相似性。

REvil 在 2021 年上半年达到了成功的顶峰,在 Kaseya MSP 供应链攻击中损害了数千家公司,要求  计算机制造商宏碁支付 5000 万美元,并 使用被盗的尚未发布设备的蓝图勒索苹果。

在执法部门的巨大压力 下 , REvil 勒索软件团伙最终 于 2021 年 10 月关闭。然而,2022 年 1 月,俄罗斯当局宣布  对该团伙的 8 名成员进行逮捕、扣押和 指控。

2021 年 12 月,发起了一项名为“Ransom Cartel”的新勒索软件操作,该操作  与 REvil 的恶意软件有许多代码相似之处。

可能的品牌重塑?

Palo Alto Network 的 Unit 42 的一份新报告进一步阐明了这两个网络犯罪团伙之间的联系,在技术、策略和程序 (TTP) 方面具有相似之处,最重要的是,它们的恶意软件代码有共同点。

由于 REvil 加密恶意软件的源代码从未在黑客论坛上泄露,因此任何使用类似代码的新项目要么是品牌重塑,要么是由原团伙核心成员发起的新行动。

在分析 Ransom Cartel 的加密器时,研究人员发现恶意软件中嵌入的配置结构有相似之处,尽管存储位置不同。

Unit 42 分析的样本显示,Ransom Cartel 缺少一些配置值,这意味着作者要么试图使恶意软件更精简,要么他们的基础是 REvil 恶意软件的早期版本。

加密方案是相似性变得更强的地方,Ransom Cartel 的样本生成了多对公钥/私钥和会话秘密,这是一个在 Kaseya 攻击中大放异彩的 REvil 系统。

在 Ransom Cartel 恶意软件中看到的 REvil 复杂的秘密生成机制
REvil 复杂的秘密生成机制也出现在 Ransom Cartel 恶意软件 (Unit 42)中

“两者都使用 Salsa20 和 Curve25519 进行文件加密,除了内部类型结构的结构外,加密例程的布局几乎没有差异,”  Unit 42 研究人员 Daniel Bunce 和 Amer Elsad的报告释道。

一个有趣的发现是,Ransom Cartel 样本没有 REvil 的强大混淆功能,这可能意味着新恶意软件的作者不拥有 REvil 的原始混淆引擎。

赎金卡特尔行动

REvil 和 Ransom Cartel 使用的策略、技术和程序 (TTP) 也有相似之处,例如双重勒索攻击、大量赎金要求以及数据泄露站点以迫使受害者支付赎金。

但是,Ransom Cartel 使用的一种技术是使用 Windows 数据保护 API (DPAPI) 来窃取凭据,而 REvil 攻击中并未出现这种技术。

对于这种方法,Ransom Cartel 使用了一个名为“ DonPAPI ”的工具,它可以在主机上搜索包含 Wi-Fi 密钥、RDP 密码和保存在 Web 浏览器中的凭据的 DPAPI blob,然后在机器上本地下载和解密它们。

然后,这些凭据将用于破坏 Linux ESXi 服务器并对其 vCenter Web 界面进行身份验证。

最后,威胁参与者关闭虚拟机,终止所有相关进程,并加密与 Vmware 相关的文件(.log、.vmdk、.vmem、.vswp 和 .vmsn)。

不常用的工具 DonPAPI 的存在表明 Ransom Cartel 的运营商是经验丰富的威胁参与者。

赎金卡特尔赎金票据
赎金卡特尔赎金票据

另一个与 REvil 相关的勒索软件操作?

虽然 Ransom Cartel 和 REvil 之间有着密切的联系,但他们并不是目前唯一使用 REvil 代码的勒索软件团伙。

2022年4 月,发现了另一个 我们称为“BlogXX”的勒索软件操作 ,其加密器几乎与 REvil 加密器相同。

当时的研究人员告诉 BleepingComputer,BlogXX 加密器不仅是从 REvil 的源代码编译而来,还包括新的变化。

“是的,我的评估是威胁参与者拥有源代码。没有像“LV Ransomware”那样打补丁,”安全研究员 R3MRUM 当时告诉news.zzqidc.com。

AdvIntel 首席执行官 Vitali Kremez 还告诉news.zzqidc.com,BlogXX 的加密器包括一个新的“accs”配置选项,其中包含目标受害者的帐户凭据。

此外,新的勒索软件操作使用相同的赎金票据,并在其 Tor 支付网站上称自己为“Sodinokibi”,这是 REvil 的替代名称。

BlogXX 赎金票据与 REvil 使用的赎金票据相同
BlogXX 赎金记录与 REvil 使用的相同

然而,与 Ransom Cartel 不同的是,BlogXX 的历史有一个额外的组成部分,可以有力地证明它们实际上是 REvil 的品牌重塑。

REvil 关闭后,该团伙的旧 Tor 网站恢复了,但这一次将访问者重定向到 BlogXX 操作的数据泄露站点。

虽然这些网站看起来与 REvil 以前的网站完全不同,但旧的 Tor 网站正在重定向到 BlogXX 的网站这一事实表明,新的操作控制了 REvil 的 Tor 私钥。

由于只有最初的 REvil 运营商会拥有这些 Tor 私钥,这表明两个团伙之间存在着密切的联系。

虽然尚未找到关于 BlogXX 或 Ransom Cartel 是 REvil 操作的更名的无可辩驳的证据,但很明显,至少有一些原始成员支持这些新的勒索软件操作。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 勒索卡特尔与臭名昭著的REvil勒索软件操作有关