Исследователи связали участников Ransom Cartel с известной хак-группой REvil - «Новости» » Интернет технологии
sitename
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
 Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователи связали участников Ransom Cartel с известной хак-группой REvil - «Новости»

✔Исследователи связали участников Ransom Cartel с известной хак-группой REvil - «Новости»

23 октября 2022 741 Новости / Сайтостроение / Изображения / Преимущества стилей / Отступы и поля / Вёрстка / Текст 0

Эксперты из Palo Alto Network провели анализ шифровальщика хакерской группы Ransom Cartel и считают, что он весьма похож на малварь REvil. Хотя неопровержимых доказательств связи между этими группировками пока нет, исследователи считают, что Ransom Cartel могли основать бывшие участники REvil.


Напомню, что REvil была одной из наиболее крупных и известных вымогательских группировок. В частности, именно REvil ответственна за громкий взлом поставщика MSP-решений Kaseya в 2021 году, а также атаку на крупнейшего в мире производителя мяса, компанию JBS.


Активность группы прекратилась в январе 2022 года, после того как ФСБ объявило об аресте 14 человек, связанных с хак-группой, а по 25 адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях прошли обыски. При этом сообщалось, что «основанием для розыскных мероприятий послужило обращение компетентных органов США».


Тогда Тверской суд Москвы заключил под стражу восемь предполагаемых участников хак-группы. Всем им были предъявлены обвинения в приобретении и хранении электронных средств, предназначенных для неправомерного осуществления перевода денежных средств, совершенных организованной группой (ч. 2 ст. 187 УК РФ).


Позже СМИ сообщали, что расследование уголовного дела практически зашло в тупик, так как американские власти отказались от дальнейшего сотрудничества с Россией, и обвинить подозреваемых смогли только в махинациях с банковскими картами двух живущих в США мексиканцев.


В декабре 2021 года на сцене появился новый вымогатель Ransom Cartel, который, как уже тогда отмечали специалисты, во многом схож с малварью REvil. Теперь вредоноса изучили аналитики Palo Alto Network, и они так же пишут о возможной связи между двумя группировками.


Дело в том, что исходный код шифровальщика REvil никогда не «утекал» и не распространялся открыто. То есть в любом новым проекте, использующем аналогичные исходники, сразу подозревают либо ребрендинг REvil, либо новую угрозу, у истоков которой стоят бывшие участники REvil.


При анализе малвари Ransom Cartel исследователи обнаружили сходство в структуре конфигурации вредоносов, хотя места хранения различаются. Так, в коде Ransom Cartel отсутствуют некоторые значения конфигурации, и это, по мнению экспертов, означает, что авторы вредоноса либо пытаются сделать его более компактным, либо основой для этого шифровальщика является старая версия малвари REvil.


Сильнее всего о сходстве двух вымогателей говорят схемы шифрования, которые они используют. Образцы Ransom Cartel так же генерируют несколько пар публичных и приватных ключей и секретов, практически полностью повторяя сложную систему, которую использовал REvil.



Исследователи связали участников Ransom Cartel с известной хак-группой REvil - «Новости»


«Оба шифровальщика используют Salsa20 и Curve25519 для шифрования файлов, и в структуре процедуры шифрования очень мало различий», — пишут исследователи.


При этом в образцах Ransom Cartel нет такой серьезной обфускации, которую обнаруживали в малвари REvil. Это может означать, что авторы нового вымогателя не имеют доступа к оригинальному механизму обфускации REvil.


Еще одним отличием является использование используемый Ransom Cartel для кражи учетных данных Windows Data Protection API (DPAPI). Для этой цели группировка применяет весьма редкий инструмент DonPAPI, который способен искать на хостах блобы DPAPI, содержащие ключи Wi-Fi, пароли RDP и учетные данные, сохраненные в браузерах, а затем загружать и расшифровывать их локально на машине. После эти учетные данные используются для компрометации серверов Linux ESXi и аутентификации в веб-интерфейсах vCenter.


«В настоящее время мы полагаем, что операторы Ransom Cartel имели доступ к более ранним версиям исходного кода программы-вымогателя REvil, но не к последним разработкам. Это говорит о том, что в какой-то момент между группами существовали отношения, хотя, возможно, это было давно», — заключают исследователи.


Интересно, что, невзирая на отсутствие утечек исходных кодов REvil, Ransom Cartel – не единственная группировка, которая использует разработки REvil в своих атаках. Так, в апреле 2022 года, когда Tor-сайты REvil неожиданно возобновили свою работу, был обнаружен новый шифровальщик BlogXX, не только скомпилированный на основе исходного кода REvil, но и содержавший ряд изменений.


Тогда ИБ-эксперты писали, что у авторов BlogXX явно есть исходный код REvil. К тому же когда Tor-сайты REvil вновь заработали, вскоре их посетителей начали перенаправлять на сайт BlogXX. Хотя этот ресурс не был похожи на предыдущие сайты REvil, тот факт, что старые сайты начали перенаправлять посетителей на сайты BlogXX, говорил о том, что кто-то из новой хак-группы имеет доступ к закрытым ключам Tor, которые позволяют вносить нужные изменения.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты из Palo Alto Network провели анализ шифровальщика хакерской группы Ransom Cartel и считают, что он весьма похож на малварь REvil. Хотя неопровержимых доказательств связи между этими группировками пока нет, исследователи считают, что Ransom Cartel могли основать бывшие участники REvil. Напомню, что REvil была одной из наиболее крупных и известных вымогательских группировок. В частности, именно REvil ответственна за громкий взлом поставщика MSP-решений Kaseya в 2021 году, а также атаку на крупнейшего в мире производителя мяса, компанию JBS. Активность группы прекратилась в январе 2022 года, после того как ФСБ объявило об аресте 14 человек, связанных с хак-группой, а по 25 адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях прошли обыски. При этом сообщалось, что «основанием для розыскных мероприятий послужило обращение компетентных органов США». Тогда Тверской суд Москвы заключил под стражу восемь предполагаемых участников хак-группы. Всем им были предъявлены обвинения в приобретении и хранении электронных средств, предназначенных для неправомерного осуществления перевода денежных средств, совершенных организованной группой (ч. 2 ст. 187 УК РФ). Позже СМИ сообщали, что расследование уголовного дела практически зашло в тупик, так как американские власти отказались от дальнейшего сотрудничества с Россией, и обвинить подозреваемых смогли только в махинациях с банковскими картами двух живущих в США мексиканцев. В декабре 2021 года на сцене появился новый вымогатель Ransom Cartel, который, как уже тогда отмечали специалисты, во многом схож с малварью REvil. Теперь вредоноса изучили аналитики Palo Alto Network, и они так же пишут о возможной связи между двумя группировками. Дело в том, что исходный код шифровальщика REvil никогда не «утекал» и не распространялся открыто. То есть в любом новым проекте, использующем аналогичные исходники, сразу подозревают либо ребрендинг REvil, либо новую угрозу, у истоков которой стоят бывшие участники REvil. При анализе малвари Ransom Cartel исследователи обнаружили сходство в структуре конфигурации вредоносов, хотя места хранения различаются. Так, в коде Ransom Cartel отсутствуют некоторые значения конфигурации, и это, по мнению экспертов, означает, что авторы вредоноса либо пытаются сделать его более компактным, либо основой для этого шифровальщика является старая версия малвари REvil. Сильнее всего о сходстве двух вымогателей говорят схемы шифрования, которые они используют. Образцы Ransom Cartel так же генерируют несколько пар публичных и приватных ключей и секретов, практически полностью повторяя сложную систему, которую использовал REvil. «Оба шифровальщика используют Salsa20 и Curve25519 для шифрования файлов, и в структуре процедуры шифрования очень мало различий», — пишут исследователи. При этом в образцах Ransom Cartel нет такой серьезной обфускации, которую обнаруживали в малвари REvil. Это может означать, что авторы нового вымогателя не имеют доступа к оригинальному механизму обфускации REvil. Еще одним отличием является использование используемый Ransom Cartel для кражи учетных данных Windows Data Protection API (DPAPI). Для этой цели группировка применяет весьма редкий инструмент DonPAPI, который способен искать на хостах блобы DPAPI, содержащие ключи Wi-Fi, пароли RDP и учетные данные, сохраненные в браузерах, а затем загружать и расшифровывать их локально на машине. После эти учетные данные используются для компрометации серверов Linux ESXi и аутентификации в веб-интерфейсах vCenter. «В настоящее время мы полагаем, что операторы Ransom Cartel имели доступ к более ранним версиям исходного кода программы-вымогателя REvil, но не к последним разработкам. Э то говорит о том, что в какой-то момент между группами существовали отношения, хотя, возможно, это было давно», — заключают исследователи. Интересно, что, невзирая на отсутствие утечек исходных кодов REvil, Ransom Cartel – не единственная группировка, которая использует разработки REvil в своих атаках. Так, в апреле 2022 года, когда Tor-сайты REvil неожиданно возобновили свою работу, был обнаружен новый шифровальщик BlogXX, не только скомпилированный на основе исходного кода REvil, но и содержавший ряд изменений. Тогда ИБ-эксперты писали, что у авторов BlogXX явно есть исходный код REvil. К тому же когда Tor-сайты REvil вновь заработали, вскоре их посетителей начали перенаправлять на сайт BlogXX. Хотя этот ресурс не был похожи на предыдущие сайты REvil, тот факт, что старые сайты начали перенаправлять посетителей на сайты BlogXX, говорил о том, что кто-то из новой хак-группы имеет доступ к закрытым ключам Tor, которые позволяют вносить нужные изменения.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: