Forscher der Unit 42 von Palo Alto Networks haben eine relativ neue Ransomware-Bande namens „Ransom Cartel“ mit der inzwischen aufgelösten REvil-Bande in Verbindung gebracht.
Sie analysierten die TTPs, einschließlich des Verschlüsselungsschemas, der doppelten Erpressungstaktik und einer Leak-Site – die alle den Verfahren von Ravil ähneln. Zwar verfügt die neue Bande nicht über den Grad an Verschleierung, den REvil in seinem Code beibehalten hat, doch sie nutzt die Windows Data Protection API als neuen Vektor.
Ransom Cartel Ransomware
Wenn Sie sich an den Namen der REvil-Ransomware erinnern, wissen Sie sicher, dass es sich dabei um eine der berüchtigtsten Cybercrime-Banden in der Geschichte der Informationssicherheit handelte.
Die REvil-Gang war im ersten Halbjahr 2021 sehr aktiv und hatte bei einem Angriff auf die Lieferkette von Kaseya MSP Tausende von Unternehmen kompromittiert, Blaupausen unveröffentlichter Apple-Produkte gestohlen und von Acer eines der höchsten Lösegeldzahlungen in Höhe von 50 Millionen US-Dollar gefordert.
Obwohl die Ransomware im Oktober 2021 aufgrund des starken Drucks der Strafverfolgungsbehörden geschlossen werden musste, besteht immer noch die Hoffnung, dass die Kernmitglieder der REvil-Ransomware in neuer Form wieder auftauchen. Und jetzt haben wir eine, die ähnliche Merkmale aufweist, was uns glauben lässt, dass es sich um die Reinkarnation der REvil-Ransomware handelt.
Benannt nach Lösegeldkartellhaben Forscher der Unit 42 von Palo Alto Networks die Techniken, Taktiken und Verfahren (TTPs) des Angriffs untersucht und ihn mit der Ransomware REvil in Verbindung gebracht.
Und da die Verschlüsselungs-Malware von REvil nie in Hackerforen durchgesickert ist, handelt es sich bei jedem neuen Projekt mit ähnlichem Code entweder um eine Umbenennung oder einen Neustart eines ähnlichen Dienstes durch die Kernmitglieder.
Es gibt eine neue Ransomware-Bande, die Mitte Dezember oder früher mit der Arbeit begann. Bisher gibt es nur wenige Tweets zu ihnen. Es wurden noch keine Beispiele gesehen.
Wir können jedoch bereits jetzt sagen, dass es in gewisser Weise mit REvil zusammenhängt – die Frage ist nur, wie genau.
????@demonslay335 @VK_Intel https://t.co/NQGf7iwuzG— MalwareHunterTeam (@malwrhunterteam) 21. Januar 2022
Bei der Analyse der Verschlüsseler stellten die Forscher fest, dass die Struktur der in die Malware eingebetteten Konfiguration ähnlich ist, die Speicherorte jedoch unterschiedlich sind. Die Art und Weise, wie Ransom Cartel-Samples in mehreren Paaren aus öffentlichen/privaten Schlüsseln und Sitzungsgeheimnissen generiert werden, ähnelt jedoch der des REvil-Systems.
Obwohl das Ransom Cartel in seinem Code keine Verschleierung auf REvil-Niveau aufweist, zeichnet es sich durch die Verwendung eines neuen Vektors aus Windows-Datenschutz-API (DPAPI), um Anmeldeinformationen zu stehlen. Die Bande nannte es „DonPAPI“ – und verwendet es, um Hosts nach DPAPI-Blobs zu durchsuchen, die WLAN-Schlüssel, RDP-Passwörter und in Webbrowsern gespeicherte Anmeldeinformationen enthalten.
Sie werden dann heruntergeladen und lokal auf dem Computer entschlüsselt und verwendet, um auf die Linux ESXi-Server zuzugreifen oder sich bei vCenter-Weboberflächen zu authentifizieren. Außerdem Sie fahren die VMs herunter, beenden alle zugehörigen Prozesse und verschlüsseln VMware-bezogene Dateien (.log, .vmdk, .vmem, .vswp und .vmsn).
All dies lässt uns glauben, dass es sich bei den neuen Bedrohungsakteuren um erfahrene Hacker handelt und dass sie möglicherweise die REvil-Ransomware wiederbeleben.
