.
Já faz quase um ano desde que a gangue de ransomware Ransom Cartel foi detectada pela primeira vez e a equipe ao longo desse tempo acumulou uma batida constante de vítimas em países como Estados Unidos e França e de uma ampla gama de setores da indústria.
Analistas da MalwareHunterTeam acreditam que o grupo está ativo desde dezembro de 2021 e pesquisadores de ameaças do grupo Unit 42 da Palo Alto Networks viram o Ransom Cartel em ação um mês depois. Durante a maior parte de 2022, os defensores investigaram as origens do grupo. Agora, a Unidade 42 diz que o Ransom Cartel compartilha algumas semelhanças com a notória gangue REvil ransomware-as-a-service (RaaS).
No entanto, isso significa que o REvil, que ficou escuro apenas alguns meses antes do Ransom Cartel vir à tona, se transformou no novo grupo e continua com seus caminhos nefastos sob um novo nome?
Os pesquisadores não estão dando esse salto, mas acreditam que em algum momento os cibercriminosos por trás do Ransom Cartel fizeram contato com seus colegas do REvil, talvez como afiliados ou em alguma outra posição.
“Com base no fato de que os operadores do Ransom Cartel claramente têm acesso ao código-fonte original do ransomware REvil, mas provavelmente não possuem o mecanismo de ofuscação usado para criptografar strings e ocultar chamadas de API, especulamos que os operadores do Ransom Cartel tiveram um relacionamento com o grupo REvil em um ponto, antes de iniciar sua própria operação”, escreveram os pesquisadores da Unidade 42 Amer Elsad e Daniel Bunce em um recente relatório.
Houve conversa de novo, de novo sobre o retorno do REvil. A especulação sobre o Ransom Cartel e suas possíveis ligações com o grupo com sede na Rússia – também conhecido como Sodinokibi – ilustra novamente a natureza fluida do mundo do crime cibernético e a ascensão e queda em constante evolução das gangues criminosas. Nada disso surpreende Andrew Barratt, vice-presidente da Coalfire, uma empresa de consultoria em segurança cibernética.
“Há muito ‘crime como serviço’”, disse Barratt O registro. “Eles podem ser um cliente (o REvil foi originalmente lançado como ransomware-as-a-service). Também pode ser um simples relacionamento de fornecedor, mas apenas um imitador, dado o sucesso que o REvil teve.”
Dito isto, “é de vital importância rastrear movimentos [of the cybercriminals and their groups] pois podemos ver mudanças nos artefatos (arquivos, locais, hashes, etc.) que nos dão indicadores de comprometimento ou indicadores de atividade”, disse ele.
“Estas são as coisas que os defensores ou investigadores forenses precisam estar no topo e uma consciência compartilhada equivale a uma defesa maior sobre todos.”
REvil iniciou suas operações em 2019 e se tornou um importante player no campo de ransomware, atingindo entre outros JBS Alimentos e Kaseya. Também chamou a atenção do governo dos EUA, que se apoiou nas autoridades russas para fazer mais para encerrar grupos de crimes cibernéticos que Moscou vinha protegendo há anos. A pressão ajudou a REvil essencialmente fechando suas portas no final de 2021 e o prisões em janeiro de 14 membros suspeitos por autoridades russas.
No entanto, a influência do REvil permanece, como demonstrado pelos aparentes laços que ligam o Ransom Cartel a ele.
“Neste momento, acreditamos que os operadores do Ransom Cartel tiveram acesso a versões anteriores do código-fonte do ransomware REvil, mas não a alguns dos desenvolvimentos mais recentes”, escreveram Elsad e Bunce. “Isso sugere que houve uma relação entre os grupos em algum momento, embora possa não ter sido recente.”
Alguns desses cruzamentos incluem semelhanças nas notas de resgate de cada grupo – embora sejam bastante simples de copiar. Ambos usam dupla extorsão métodos – assim como um número crescente de grupos. O Ransom Cartel não apenas ameaça postar os dados roubados em seu site de vazamento se o resgate exigido não for pago, mas também enviar os dados para os parceiros, concorrentes e mídia da vítima.
Outras semelhanças com o REvil incluem o método que ambos usam para gerar segredos de sessão, “indicando uma sobreposição direta entre o código-fonte do REvil e as amostras mais recentes do Ransom Cartel”, escreveram os pesquisadores. O esquema de criptografia de dados usado pelo Ransom Cartel também é idêntico aos encontrados nas amostras do REvil, de acordo com a Unidade 42.
Também existem diferenças, inclusive na forma como os dados criptografados são armazenados. Além disso, o REvil ofuscaria fortemente seu ransomware – usando métodos como criptografia de string e hash de API – enquanto o Ransom Cartel essencialmente não ofuscava além da configuração.
“É possível que o grupo Ransom Cartel seja uma ramificação do grupo de atores de ameaças REvil original, onde os indivíduos possuem apenas o código-fonte original do criptografador/descriptografador do ransomware REvil, mas não têm acesso ao mecanismo de ofuscação”, a Unidade 42 pesquisadores escreveram.
Além disso, o Ransom Cartel usa o DonPAPI para localizar e recuperar credenciais protegidas pela API de proteção de dados do Windows (DPAPI) em uma técnica conhecida como “dumping DPAPI”. Os pesquisadores escreveram que a ferramenta não havia sido vista em incidentes anteriores.
O DonPAPI procura nos sistemas arquivos conhecidos por serem protegidos por DPAPI, como chaves Wi-Fi, senhas do Protocolo de Área de Trabalho Remota (RDP) e credenciais salvas em navegadores da web. A ferramenta também tem maneiras de evitar a detecção por antivírus e software de detecção e resposta de endpoint (EDR).
“Para comprometer os dispositivos Linux ESXi, o Ransom Cartel usa o DonPAPI para coletar credenciais armazenadas em navegadores da Web usados para autenticar a interface da Web do vCenter”, escreveram os pesquisadores.
Pode não haver nada conclusivo ainda sobre a origem dos cibercriminosos do Ransom Cartel, mas a busca por respostas é importante.
“Embora existam muitos grupos de ameaças persistentes avançadas (APT) em jogo, eles têm as mesmas limitações de talento que as empresas legítimas têm”, disse Mike Parkin, engenheiro técnico sênior da empresa de segurança cibernética Vulcan Cyber. O registro. “Ao rastrear os grupos ao longo do tempo e procurar assinaturas em suas técnicas, é possível identificar quem são os jogadores e, talvez, dar às autoridades o conhecimento necessário para agir”. ®
Nota do editor: Este artigo foi revisado após a publicação para remover nossa afirmação de que o REvil estava por trás da invasão do Oleoduto Colonial; aquilo foi atribuído para outra gangue, DarkSide, que tem fechar links para REvil. Estamos felizes em esclarecer a situação.
.
