ارتباط Ransom Cartel با عملیات باج افزار REvil

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir ransom cartel linked to notorious revil ransomware operation 1
محققان امنیت سایبری، عملیات نسبتا جدید باج‌افزار Ransom Cartel را با باند بدنام REvil، بر اساس شباهت‌های کد در رمزگذار‌های هر دو عملیات مرتبط کرده‌اند.

گروه REvil در نیمه‌اول سال ٢٠٢١ به اوج موفقیت خود رسید، هزاران شرکت را در حمله به زنجیره تامین Kaseya MSP به خطر انداخت، از سازنده رایانه Acer درخواست پرداخت ۵٠ میلیون دلار کرد و با استفاده از نقشه‌های سرقت شده دستگاه‌هایی که هنوز منتشر نشده بود، از اپل اخاذی کرد.

باند باج افزار REvil سرانجام در اکتبر ٢٠٢١ به‌دنبال فشار شدید مجریان قانون متوقف شد. با‌این‌حال، در ژانویه ٢٠٢٢، مقامات روسی دستگیری، توقیف پول و اتهاماتی را علیه هشت نفر از اعضای این باند اعلام کردند.

در دسامبر ٢٠٢١، یک عملیات باج‌افزار جدید به نام «Ransom Cartel» راه‌اندازی شد که شباهت‌های کد زیادی با بدافزار REvil داشت.

یک تغییر نام تجاری احتمالی؟
گزارش جدیدی از واحد ٤٢ شبکه پالو آلتو، ارتباط بین این دو باند جرایم سایبری را روشن می‌کند و شباهت‌هایی را در تکنیک‌ها، تاکتیک‌ها و رویه‌ها (TTPs) و مهم‌تر از همه، نقاط مشترک در کد بدافزار آنها عیان مینماید‌.

از آنجایی که سورس کد بدافزار رمزگذاری REvil هرگز در انجمن‌های هک فاش نشد، هر پروژه جدیدی که از کد مشابه استفاده می‌کند یا یک تغییر نام تجاری یا عملیات جدیدی است که توسط یکی از اعضای اصلی باند مادر راه‌اندازی شده است.

هنگام تجزیه‌و‌تحلیل رمزگذار‌های Ransom Cartel، محققان شباهت‌هایی را در ساختار پیکربندی تعبیه شده در بدافزار یافتند، اگرچه مکان‌های ذخیره‌سازی متفاوت است.

نمونه‌های تجزیه‌و‌تحلیل شده توسط واحد ٤٢ نشان می‌دهد که Ransom Cartel برخی از مقادیر پیکربندی را از دست داده است، به این معنی که نویسندگان یا سعی می‌کنند بدافزار را کوچک‌تر کنند یا اینکه اساس آنها نسخه قبلی بدافزار REvil است.

طرح رمزگذاری جایی است که شباهت‌ها قوی‌تر می‌شوند؛ با نمونه‌های Ransom Cartel که چندین جفت کلید عمومی/خصوصی و session secret‌ها را تولید می‌کنند، سیستم REvil بود که در حملات Kaseya خوش درخشید.

takian.ir ransom cartel linked to notorious revil ransomware operation 2

این گزارش توسط محققین واحد ٤٢ دانیل بانس و عامر الساد توضیح می‌دهد : «هر دو از Salsa20 و Curve25519 برای رمزگذاری فایل استفاده می‌کنند، و تفاوت‌های بسیار کمی در طرح روتین رمزگذاری علاوه بر شکل ساختار‌های نوع داخلی وجود دارد».

یک یافته جالب این است که نمونه‌های Ransom Cartel دارای مبهم‌سازی قوی REvil نیستند، و این ممکن است بدان معنی باشد که نویسندگان بدافزار جدید موتور مبهم‌سازی اصلی REvil را ندارند.

عملیات Ransom Cartel
همچنین شباهت‌هایی در تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) مورد استفاده توسط REvil و Ransom Cartel وجود دارد، مانند حملات اخاذی مضاعف، باج‌خواهی‌های بزرگ، و سایت نشت داده‌ها برای تحت‌فشار قرار دادن قربانیان برای پرداخت باج.

با‌این‌حال، یکی از تکنیک‌هایی که توسط Ransom Cartel استفاده می‌شود و در حملات REvil دیده نمی‌شود، استفاده از Windows Data Protection API (DPAPI) برای سرقت اعتبارنامه است.

برای این‌روش، Ransom Cartel از ابزاری به نام «DonPAPI» استفاده می‌کند که می‌تواند میزبان‌ها را برای بلاب‌های DPAPI حاوی کلید‌های Wi-Fi، رمز‌های عبور RDP و اعتبارنامه ذخیره‌شده در مرورگر‌های وب جستجو کند و سپس آن‌ها را به‌صورت محلی در دستگاه دانلود و رمزگشایی کند.

سپس از این اعتبارنامه‌ها برای به خطر انداختن سرور‌های لینوکس ESXi و احراز هویت به اینترفیس‌های وب vCenter آنها استفاده می‌شود.

در‌نهایت، عوامل تهدید ماشین‌های مجازی را خاموش می‌کنند، تمام فرآیند‌های مرتبط را خاتمه می‌دهند و فایل‌های مربوط به Vmware (log.، vmdk.، vmem.، vswp. و vmsn.) را رمزگذاری می‌نمایند.

وجود DonPAPI، ابزاری که معمولا مورد استفاده قرار نمی‌گیرد، نشان می‌دهد که اپراتور‌های Ransom Cartel مهاجمان با تجربه‌ای در تهدیدات سایبری هستند.

takian.ir ransom cartel linked to notorious revil ransomware operation 3

یکی دیگر از عملیات باج افزار مرتبط با REvil؟
در‌حالی‌که ارتباطات قوی بین Ransom Cartel و REvil وجود دارد، آنها تنها گروه باج افزاری نیستند که در حال حاضر از کد REvil استفاده می‌کنند.

در آوریل ٢٠٢٢، عملیات باج‌افزار دیگری که «BlogXX» می‌نامیم، شناسایی شد که رمزگذار‌های آن تقریبا با رمزگذار‌های REvil یکسان بود.

محققان در آن زمان به خبرگزاری‌ها گفتند که رمزگذار BlogXX نه‌تنها از کد منبع REvil کامپایل شده است، بلکه شامل تغییرات جدیدی نیز می‌شود.

محقق امنیتی R٣MRUM در آن زمان به خبرگزاری‌ها گفت : "بله، ارزیابی من این است که عامل تهدید سورس کد را دارد. اما مانند "LV Ransomware" پچ نشده است."

مدیر عامل AdvIntel Vitali Kremez همچنین گفت که رمزگذار‌های BlogXX دارای یک گزینه پیکربندی جدید 'accs' است که حاوی اعتبارنامه حساب برای قربانی هدف است.

علاوه بر این، عملیات باج‌افزار جدید از یادداشت‌های باج یکسان استفاده می‌کرد و خود را «Sodinokibi»، نامی جایگزین برای REvil، در سایت‌های پرداخت Tor خود نامید.

takian.ir ransom cartel linked to notorious revil ransomware operation 4

با‌این‌حال، بر خلاف Ransom Cartel، تاریخ BlogXX دارای یک مولفه اضافی است که شواهد قوی نشان می‌دهد که آنها، در‌واقع، نام تجاری مجدد REvil هستند.

پس از بسته شدن REvil، وب‌سایت‌های قدیمی Tor این باند احیا شدند، اما این بار بازدید‌کنندگان را به سایت نشت داده‌های عملیات BlogXX هدایت کردند.

در‌حالی‌که این سایت‌ها هیچ شباهتی به وب‌سایت‌های قبلی REvil نداشتند، این واقعیت که سایت‌های قدیمی Tor به سایت‌های BlogXX هدایت می‌شدند نشان داد که عملیات جدید کنترل کلید‌های خصوصی Tor را در اختیار داشت.

از آنجایی که فقط اپراتور‌های اصلی REvil این کلید‌های خصوصی Tor را در اختیار داشتند، این مسئله ارتباط قوی بین این دو باند را نشان می‌داد.

در‌حالی‌که شواهد انکارنا‌پذیری مبنی بر اینکه BlogXX یا Ransom Cartel برند‌های جدید عملیات REvil هستند هنوز یافت نشده است، کاملا واضح است که حداقل برخی از اعضای اصلی، پشت این عملیات باج‌افزار جدید هستند.

برچسب ها: LV Ransomware, BlogXX, DonPAPI, DPAPI, Windows Data Protection API, Salsa20, Kaseya MSP, Ransom Cartel, یادداشت باج, Ransom Note, Curve25519, Kaseya, Sodinokibi, اعتبارنامه, Credentials, Ransom, REvil, Tor, TTP, Encryption, VMware, ransomware , Cyber Security, حملات سایبری, رمزگذاری, باج افزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ