A análise do código REvil revela fortes vínculos com o GandCrab – e os pesquisadores sugerem que o REevil começou a vida como uma versão do GandCrab.

Por  

 Instruções de desencriptação de GANDCRAB

Uma nova forma de ransomware compartilha vários links com o  malware GandCrab, de  acordo com pesquisadores da empresa de segurança, embora os desenvolvedores desse infame pedaço de ransomware no início deste ano tenham se aposentado .

O GandCrab foi uma das famílias mais bem-sucedidas de ransomware durante 2018 e 2019, com seus autores oferecendo-o ‘como serviço’ em troca de uma redução nos lucros. Em junho, eles anunciaram repentinamente que estavam se aposentando, alegando ter ganho mais de US $ 2 bilhões desde o surgimento do GandCrab em janeiro de 2018 .

Muitos estavam céticos sobre se a equipe do GandCrab realmente havia interrompido as operações e agora os pesquisadores descobriram links técnicos entre o GandCrab e outra forma de ransomware – REvil -, o que sugere que as duas formas de malware têm os mesmos autores.

 REvil – também conhecido como Sodinokibi – surgiu pela primeira vez pouco antes de o GandCrab interromper a operação e se tornar uma das famílias mais importantes de ransomware de 2019.

Agora, os pesquisadores de segurança da Secureworks Counter Threat Unit detalharam o que eles acreditam ser links que demonstram que os desenvolvedores do GandCrab – a quem chamam Gold Garden – também são responsáveis ​​pelo REvil, que poderia ter começado a vida como uma nova versão do GandCrab. .

“Certamente compartilha alguma sobreposição de código com o GandCrab e há até mesmo artefatos que sugerem que ele pretendia ser uma evolução do GandCrab e eles decidiram que o GandCrab estava maduro para uma reformulação e relançamento”, Rafe Pilling, pesquisador de segurança da informação da Secureworks disse ao ZDNet.

A análise do REvil descobriu que as funções de decodificação de strings empregadas pelo REvil e GandCrab são quase idênticas, sugerindo um forte vínculo entre as duas formas de ransomware. O REvil e o GandCrab também compartilham a funcionalidade de criação de URL, que produz os mesmos padrões de URL para servidores de comando e controle.

“Quando vemos coisas assim, é um avisador que sugere que o código foi compartilhado”, disse Pilling.

Há também evidências de que o REvil foi inicialmente destinado apenas a ser uma nova versão do ransomware GandCrab, pois a análise de uma versão beta do REvil revela que existem linhas no código que parecem ser referências ao GandCrab. Isso inclui ‘gcfin’, que os pesquisadores acreditam representar ‘GandCrab Final’ e ‘gc6’, que se acredita representar GandCrab 6.

Com os responsáveis ​​pelo GandCrab, famosos por executar uma operação eficiente, é provável que essas referências ao ransomware original sejam um erro – mas isso permitiu que os pesquisadores vinculassem diretamente o REvil ao mesmo grupo.

Além das semelhanças no código, o REvil e o GandCrab colocam na lista branca certos layouts de teclado para não infectar hosts baseados na Rússia. Embora isso não vincule diretamente as duas operações, sugere que elas se baseiam na mesma região.

VEJA: A crise do ransomware vai ficar muito pior

Quando o Gold Garden puxou o GandCrab, ele ainda estava executando uma operação bem-sucedida, com uma nova compilação do ransomware lançada apenas recentemente para combater uma ferramenta de descriptografia gratuita . No entanto, é possível que os invasores tenham introduzido o REvil para atualizar suas operações, em um esforço para manter um passo à frente dos profissionais de aplicação da lei e segurança.

O REvil já se tornou uma das formas mais importantes de ransomware e os pesquisadores alertam que ele deve substituir o GandCrab como a ameaça mais difundida de ransomware.

Para limitar o dano dos ataques de ransomware, é recomendável que as organizações façam backup regularmente de seus dados e corrijam os sistemas para proteger contra ataques cibernéticos que se espalham pela exploração de vulnerabilidades antigas.

Fonte: ZDNET