تحلیلگران بازگشت باج افزار REvil را تایید کردند
0
0
REvil/Sodinokibi باج افزار بر اساس تجزیه و تحلیل انجام شده توسط واحد مقابله با تهدید Secureworks (CTU)، بار دیگر در حال توسعه فعال است و اپراتورهای اصلی آن احتمالاً مسئول هستند. که یافته های خود را در 9 مه 2022 منتشر کرد.
تیم CTU دو نمونه از REvil را که به VirusTotal ارسال شده بود، تجزیه و تحلیل کردند، یکی در اواخر مارس و دیگری در پایان آوریل. آنها میگویند این نمونهها به وضوح نشان میدهند که توسعهدهنده به کد منبع REvil دسترسی دارد، که به شدت نشان میدهد که اپراتور آن – که توسط Secureworks به عنوان Gold Southfield ردیابی میشود – قطعاً به بازی بازگشته است.
راب پانتازوپولوس، مشاور ارشد تحقیقات امنیت اطلاعات در Secureworks، به Computer Weekly گفت که تیم توانسته است این تماس را با درجه قابل توجهی از اطمینان انجام دهد.
او گفت: «هرکسی که اکنون REvil را اجرا میکند، به کد منبع باجافزار و بخشهایی از زیرساخت قدیمی مورد استفاده در پشتیبانی از آن دسترسی دارد.»
این احتمال وجود دارد که برخی یا همه اعضای گلد ساوتفیلد توسط مقامات روسیه آزاد شده باشند و اکنون به عملیات بازگشته باشند. به همان اندازه قابل قبول است که همه اعضا در وهله اول دستگیر نشده باشند و عملیات را از سر گرفته باشند، با یا بدون اعضای جدید – یا یکی از شعبه های مورد اعتماد Gold Southfield عملیات را با برکت گروه به عهده گرفته است. در واقع، اینگونه بود که خود گروه شروع به کار کردند. اپراتورهای Gandcrab، باغ طلا، بازنشسته شدند و عملیات خود را به یک گروه وابسته که اکنون Gold Southfield می نامیم فروخت.
در اواخر آوریل 2022اطلاعات جدید نشان می دهد که هر دو باندهای REvil و Conti در حال افزایش عملیات خود هستند – ظاهراً REvil از صفحه خارج شده است. در یک اقدام هماهنگ اجرای قانون، و Conti آسیب دیده است افشای اسرار آن توسط یک وابسته ناراضی.
در مورد REvil، فردی که مدعی بود نماینده گروه در 20 آوریل ظاهر شد، در آن زمان مشخص شد که سرورهای REvil در شبکه Tor به یک عملیات ظاهراً جدید هدایت میشوند، که نشان میدهد با اعضای گروه هنوز بزرگ یا یک اپراتور جدید ارتباط برقرار میکند. .
در آن زمان گمانهزنیهایی وجود داشت مبنی بر اینکه با توجه به جنگ در اوکراین، مقامات روسی که قبلاً در سقوط احتمالی آن نقش داشتهاند، به باند ممکن است مجوز ضمنی برای از سرگیری هدف قرار دادن قربانیان داده شده باشد. پانتازوپولوس پیشنهاد کرد که این یک احتمال متمایز است.
او گفت: «از نظر ما، نگرش دولت روسیه نسبت به مجرمان سایبری با انگیزه مالی در بهترین حالت دوپهلو و در بدترین حالت شریک جرم است، تا زمانی که این جنایت با منافع دولت روسیه در تضاد نباشد.»
به نظر ما غیرقابل قبول است که بین عناصر دولت روسیه و مجریان قانون و برخی از این گروه ها رابطه ای وجود نداشته باشد، اما میزان چنین روابطی نامشخص است.
و با وجود لفاظی ها و یکی دو اقدام مثبت، مانند دستگیری برخی از اعضای گلد ساوتفیلد در اوایل سال 2022، اخلال مستمر اجرای قانون روسیه در عملیات اصلی جرایم سایبری همیشه بعید به نظر می رسید. پس از حمله به اوکراین و متعاقب آن واکنش غرب، روسیه حتی کمتر برای همکاری با مجریان قانون غربی انگیزه دارد.
اصلاحات
Secureworks گفت که نمونه مارس شامل تعدادی تغییرات است که آن را از REvil در اکتبر 2021 متمایز می کند.
اینها شامل به روز رسانی منطق رمزگشایی رشته برای تکیه بر یک آرگومان خط فرمان جدید است، که احتمالاً تلاشی برای جلوگیری از انفجار نمونه ها توسط مدافعان یا محققان در یک جعبه ماسهبازی است. به روز رسانی کلیدهای عمومی سخت کد شده REvil. تغییر در نحوه ردیابی داده های وابسته توسط REvil. حذف چکهای منطقهای ممنوعه، که احتمالاً به این معنی است که REvil اکنون در اوکراین اجرا میشود، اگر خود را در آنجا پیدا کند. و گنجاندن دامنه های Tor جدید در یادداشت باج، که با دامنه های Tor جدید یافت شده در ماه گذشته مطابقت دارد.
نمونه آوریل که در ابتدا بود برجسته شده توسط Jakub Kroustek از Avast، دارای عملکرد تقریباً یکسانی بود، منهای تغییرات رمزگشایی رشته، اما همچنین حاوی یک اشکال بود که باعث میشد فایلهای قربانی را رمزگذاری نکند، بلکه نام آنها را با یک پسوند تصادفی تغییر دهد – به نظر میرسد این یک خطای کدگذاری از سوی توسعهدهنده باشد.
Secureworks از هشدار حملات قریب الوقوع باج افزار توسط REvil متوقف شد. پانتازوپولوس گفت: «این خیلی زود است که بگوییم عملیات REvil در طول زمان چگونه ممکن است توسعه یابد. در حال حاضر چهار قربانی در سایت افشا شده ارسال شده است و این میزان کمتر از اوج خود در سال 2021 است. با این حال، نمونههای REvil متعددی با تغییرات مختلف وجود دارد که نشاندهنده توسعه فعال است، و ما تلاشهایی را برای جذب افراد وابسته در انجمنهای زیرزمینی مشاهده کردهایم، بنابراین کاملاً ممکن است سطح فعالیت آنها به سرعت افزایش یابد.
با این وجود، این شرکت پیشنهاد می کند که در حال حاضر مدافعان از کنترل های موجود برای بررسی و محدود کردن دسترسی به شبکه های خود استفاده کنند. لیست کامل شاخص ها و دامنه ها را می توان در پست وبلاگ آن یافت.
