Especialistas da Palo Alto Network analisaram o ransomware do grupo de hackers Ransom Cartel e acreditam que ele é muito semelhante ao malware REvil. Embora não haja evidências conclusivas de uma conexão entre esses grupos, pesquisadores acreditam que ex-membros do REvil poderiam ter fundado o Cartel Ransom.
Deixe-me lembrá-lo disso REvil foi um dos maiores e mais famosos grupos de extorsão. Em particular, REvil é responsável pelo hackers de alto perfil do provedor de soluções MSP Caixa em 2021, assim como o ataque no maior produtor de carne do mundo, JBS.
Houve até um tempo em que O porta-voz do REvil se gabou de que hackers têm acesso a sistemas de lançamento de mísseis balísticos.
A atividade aparente do grupo cessou em janeiro 2022, depois de russo FSB anunciado a prisão de 14 pessoas associadas ao grupo de hackers, e as buscas foram realizadas em 25 endereços em Moscou, Santo. Regiões de Petersburgo e Lipetsk. Ao mesmo tempo, foi relatado que “a base para as atividades de busca foi o apelo das autoridades competentes dos EUA.”
Em seguida, o tribunal de Moscou prendeu oito supostos membros do grupo de hackers. Todos foram acusados de aquisição e posse de fundos eletrônicos destinados à transferência ilegal de fundos feita por grupo organizado.
Mais tarde, Mídia russa relatado que a investigação do processo criminal quase chegou a um beco sem saída, já que as autoridades dos EUA se recusaram a continuar a cooperar com a Rússia devido à invasão do exército de Putin na Ucrânia, e só podiam acusar os suspeitos de fraude com os cartões bancários de dois mexicanos residentes nos Estados Unidos.
Em dezembro 2021, um novo Cartel de resgate ransomware apareceu em cena, qual, como os especialistas já observaram, é em muitos aspectos semelhante ao malware REvil. Agora o malware foi estudado por Rede Palo Alto analistas, e eles também escrevem sobre uma possível conexão entre os dois grupos.
O fato é que o código-fonte do criptografador REvil nunca foi “vazado” e não foi distribuído abertamente. Aquilo é, em qualquer novo projeto usando fontes semelhantes, eles imediatamente suspeitam de uma reformulação da marca REvil, ou uma nova ameaça, cujas origens são ex-membros do REvil.
Ao analisar o malware Ransom Cartel, os pesquisadores encontraram semelhanças na estrutura de configuração do malware, embora os locais de armazenamento sejam diferentes. Então, alguns valores de configuração estão faltando no código do Ransom Cartel, e isto, de acordo com os especialistas, significa que os autores do malware estão tentando torná-lo mais compacto, ou a versão antiga do malware REvil é a base para este ransomware.
A coisa mais forte sobre as semelhanças entre os dois ransomware são os esquemas de criptografia que eles usam. As amostras do Ransom Cartel também geram vários pares de chaves e segredos públicos e privados, quase idêntico ao complexo sistema usado pelo REvil.
Ao mesmo tempo, as amostras do Ransom Cartel não contêm uma ofuscação tão séria que foi encontrada no malware REvil. Isto pode significar que os autores do novo ransomware não têm acesso ao mecanismo de ofuscação REvil original.
Outra diferença é que o Ransom Cartel usa a API de proteção de dados do Windows (DPAPI) por roubar credenciais. Para este propósito, o grupo usa o muito raro DonPAPI ferramenta, que é capaz de pesquisar hosts em busca de blobs DPAPI contendo chaves Wi-Fi, Senhas RDP, e credenciais armazenadas em navegadores, e depois baixe e descriptografe-os localmente na máquina. Essas credenciais são então usadas para comprometer o Linux ESXi servidores e autenticar contra o vCenter interfaces web.
Interessantemente, apesar da falta de vazamentos de códigos-fonte do REvil, o Cartel Ransom não é o único grupo que usa os desenvolvimentos do REvil em seus ataques. Então, em abril 2022, quando o REvil Tor sites inesperadamente retomaram seu trabalho, um novo BlogXX criptografador foi descoberto, não apenas compilado com base no código-fonte do REvil, mas também contendo uma série de alterações.
Então, especialistas em segurança da informação escreveram que os autores do BlogXX claramente possuem o código-fonte do REvil. Além disso, quando os sites Tor do REvil estavam funcionando novamente, os visitantes logo foram redirecionados para o site BlogXX. Embora este recurso fosse diferente dos sites REvil anteriores, o fato de os sites antigos terem começado a redirecionar visitantes para os sites BlogXX sugeria que alguém do novo grupo de hackers tinha acesso às chaves privadas do Tor que lhes permitiam fazer as alterações necessárias.