Forskare vid Palo Alto Networks Unit 42 har kopplat ett relativt nytt ransomware-gäng som heter “Ransom Cartel” – till det nu nedlagda REvil-gänget.
De analyserade TTP:erna inklusive krypteringsschemat, dubbel utpressningstaktik och en läckageplats – som alla liknar Ravil-procedurer. Även om det nya gänget inte har den obfuskeringsnivå som REvil upprätthöll i sin kod, utnyttjar det Windows Data Protection API som en ny vektor.
Ransom Cartel Ransomware
Om du kan namnet komma ihåg REvil ransomware, måste du veta att det var ett av de mest ökända cyberbrottsgängen i infosecs historia.
Var så aktiva under första halvåret 2021, hade REvil-gänget äventyrat tusentals företag i en Kaseya MSP-försörjningskedjasattack, stulit ritningar av outgivna Apple-produkter och krävt en av de högsta lösensummorna på 50 miljoner dollar från Acer.
Även om det tvingades stängas i oktober 2021, med hänvisning till intensiva påtryckningar från brottsbekämpande myndigheter, finns det alltid ett hopp om att kärnmedlemmarna i REvil ransomware skulle komma tillbaka på ett nytt sätt. Och vi har en som nu visar liknande funktioner, vilket får oss att tro att det är reinkarnationen av REvil ransomware.
Döpt till Lösenkartellenforskare vid Palo Alto Networks enhet 42 debriefade om dess tekniker, taktik och procedurer (TTP) – och kopplade det till REvil ransomware.
Och eftersom den krypterande skadliga programvaran från REvil aldrig har läckt ut på något hackingforum, är alla nya projekt som använder liknande kod antingen en omprofilering eller en omstart av en liknande tjänst av kärnmedlemmarna.
Det finns ett nytt ransomware-gäng som började arbeta runt mitten av december eller tidigare. Det finns bara ett fåtal tweets relaterade till dem ännu. Inga prover har setts ännu.
Men vi kan redan säga att det är relaterat till REvil på ett sätt – frågan är hur exakt.
????@demonslay335 @VK_Intel https://t.co/NQGf7iwuzG— MalwareHunterTeam (@malwrhunterteam) 21 januari 2022
Genom att analysera dess krypteringar fann forskare likheter i strukturen för konfigurationen inbäddad i skadlig programvara, medan lagringsplatserna är olika. Ändå, sättet som Ransom Cartel-prover genereras i flera par offentliga/privata nycklar och sessionshemligheter – liknar REvil-systemet.
Även om Ransom Cartel inte har REvil-nivå av obfuskation i sin kod, sticker den ut genom att använda en ny vektor av Windows Data Protection API (DPAPI) för att stjäla referenser. Gänget döpte det till “DonPAPI” – och använder den för att söka värdar efter DPAPI-blobbar som innehåller Wi-Fi-nycklar, RDP-lösenord och autentiseringsuppgifter sparade i webbläsare.
De laddas sedan ner och dekrypteras lokalt på maskinen och används för att träffa Linux ESXi-servrarna eller autentisera till vCenter-webbgränssnitt. Ytterligare, de stänger av de virtuella datorerna, avslutar alla relaterade processer och krypterar Vmware-relaterade filer (.log, .vmdk, .vmem, .vswp och .vmsn).
Alla dessa får oss att tro att de nya hotaktörerna är experthackare och möjligen återupplivar REvil ransomware.
