Araştırmacılar, her iki operasyonun şifrelemelerindeki kod benzerliklerine dayanarak nispeten yeni fidye kartel fidye yazılımı operasyonunu kötü şöhretli Revil çetesi ile ilişkilendirdiler.
Revil, 2021'in ilk yarısında başarı zirvesine ulaştı ve bir Kaseya MSP tedarik zinciri saldırısındaki binlerce şirketten ödün verdi, bilgisayar üreticisi Acer'den 50 milyon dolarlık bir ödeme talep etti ve Apple'ı henüz serbest bırakılan olmayan cihazların çalınan planlarını kullanarak zorladı.
Revil fidye yazılımı çetesi nihayet Ekim 2021'de kolluk kuvvetlerinden gelen yoğun baskının ardından kapandı. Ancak, Ocak 2022'de Rus yetkililer, çetenin sekiz üyesine karşı tutuklamaları, para nöbetlerini ve suçlamaları duyurdu.
Aralık 2021'de, Revil’in kötü amaçlı yazılımıyla birçok kod benzerliği paylaşan 'Ransom Cartel' adlı yeni bir fidye yazılımı işlemi başlatıldı.
Palo Alto Network birim 42'den yeni bir rapor, iki siber suç çetesi arasındaki bağlantıya daha fazla ışık tutuyor, teknikler, taktikler ve prosedürlerdeki (TTP'ler) benzerlikleri paylaşıyor ve en önemlisi, kötü amaçlı yazılımlarının kodunda ortak bir zemin.
Revil'in şifreleme kötü amaçlı yazılımının kaynak kodu, hack forumlarında asla sızdırılmadığından, benzer kodu kullanan herhangi bir yeni proje ya bir marka veya orijinal çetenin çekirdek bir üyesi tarafından başlatılan yeni bir işlemdir.
Fidye karteli için şifrelemeleri analiz ederken, araştırmacılar depolama yerleri farklı olmasına rağmen, kötü amaçlı yazılımlara gömülü konfigürasyonun yapısında benzerlikler buldular.
Ünite 42 ile analiz edilen numuneler, fidye kartelinin bazı yapılandırma değerlerini eksik olduğunu göstermektedir, yani yazarlar ya kötü amaçlı yazılımları daha zayıf hale getirmeye çalışıyorlar ya da temellerinin Revil kötü amaçlı yazılımların daha önceki bir sürümü olduğunu göstermektedir.
Şifreleme şeması, benzerliklerin güçlendiği yerdir, fidye kartelinin örnekleri, Kaseya saldırılarında parlayan bir revil sistemi olan birden fazla kamu/özel anahtar ve oturum sırları üretir.
Ünite 42 araştırmacıları Daniel Bunce ve Amer Elsad'ın raporunu, "Hem dosya şifrelemesi için Salsa20 ve Curve25519 kullanıyor ve iç tip yapıların yapısının yapısının yanı sıra şifreleme rutininin düzeninde çok az fark var."
İlginç bir bulgu, fidye kartel örneklerinin Revil'in güçlü gizlemesine sahip olmamasıdır, bu da yeni kötü amaçlı yazılım yazarlarının Revil'in orijinal gizleme motoruna sahip olmadığı anlamına gelebilir.
Revil ve fidye karteli tarafından kullanılan taktikler, teknikler ve prosedürlerde (TTP'ler), çift genişlemeli saldırılar, büyük fidye talepleri ve kurbanları fidye ödemeye baskı yapmak için bir veri sızıntı bölgesi gibi benzerlikler vardır.
Bununla birlikte, fidye karteli tarafından kullanılan ve Revil saldırılarında görülmeyen bir teknik, kimlik bilgilerini çalmak için Windows Veri Koruma API'sını (DPAPI) kullanmaktır.
Bu yöntem için Ransom Cartel, Wi-Fi anahtarları, RDP şifreleri ve web tarayıcılarına kaydedilen kimlik bilgilerini içeren DPAPI blobları için ana bilgisayarları arayabilen "Donpapi" adlı bir araç kullanır ve ardından makinede yerel olarak indirip şifresini çözebilir.
Bu kimlik bilgileri daha sonra Linux ESXI sunucularını tehlikeye atmak ve vCenter web arayüzlerinde kimlik doğrulamak için kullanılır.
Son olarak, tehdit aktörleri VM'leri kapatır, ilgili tüm süreçleri sonlandırır ve VMware ile ilgili dosyaları (.log, .vmdk, .vmem, .vswp ve .vmsn) şifreler.
Yaygın olarak kullanılmayan bir araç olan Donpapi'nin varlığı, fidye karteli operatörlerinin deneyimli tehdit aktörleri olduğunu gösterir.
Ransom karteli ve Revil arasında güçlü bağlantılar olsa da, şu anda Revil'in kodunu kullanan tek fidye yazılımı çetesi değiller.
Nisan 2022'de, şifrelemeleri Revil şifrelemeleriyle neredeyse aynı olan 'Blogxx' dediğimiz başka bir fidye yazılımı operasyonu bulundu.
O zamanki araştırmacılar, BleepingComputer'a blogxx şifrelemesinin sadece Revil'in kaynak kodundan derlendiğini, aynı zamanda yeni değişiklikleri de içerdiğini söyledi.
Güvenlik araştırmacısı R3Mrum, "Evet, değerlendirmem tehdit oyuncunun kaynak koduna sahip olmasıdır." LV fidye yazılımı "gibi yamalı değil,
Advintel CEO'su Vitali Kremeez ayrıca BleepingComputer'a blogxx'in şifrelemelerinin hedeflenen kurban için hesap kimlik bilgileri içeren yeni bir 'ACCS' yapılandırma seçeneği eklediğini söyledi.
Ayrıca, yeni fidye yazılımı operasyonu aynı fidye notlarını kullandı ve kendilerini Revil için alternatif bir isim olan 'Sodinokibi' olarak adlandırdı.
Bununla birlikte, fidye kartelinin aksine, Blogxx'in tarihi, aslında Revil REVRAND olduklarına dair güçlü kanıtlar veren ek bir bileşene sahiptir.
Revil’in kapanmasından sonra, çetenin eski TOR web siteleri yeniden canlandı, ancak bu kez ziyaretçileri blogxx operasyonunun veri sızıntı sitesine yönlendirdi.
Bu siteler Revil'in önceki web sitelerine benzemiyor olsa da, eski TOR sitelerinin blogxx sitelerine yönlendirilmesi, yeni operasyonun Revil'in Tor özel anahtarlarını kontrol ettiğini gösterdi.
Sadece orijinal Revil operatörleri bu özel anahtarlara sahip olacağından, iki çete arasında güçlü bir bağlantı gösterdi.
Blogxx veya fidye kartelinin Revil operasyonunun yeniden markaları olduğuna dair reddedilemez kanıt henüz bulunamamış olsa da, orijinal üyelerin en azından bir kısmının bu yeni fidye yazılımı operasyonlarının arkasında olduğu açıktır.
Revil Fidye Yazılımı İade: Yeni Kötü Yazılım Örneği Çetenin geri döndüğünü onaylar
Revil'in tor siteleri yeni fidye yazılımı operasyonuna yönlendirmek için canlanıyor
Lockbit Ransomware Builder, "Angry Geliştirici" tarafından çevrimiçi sızdırıldı
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Karakurt, Conti Siber Sendikanın Veri Gasar Kolu olarak ortaya çıktı
Kaynak: Bleeping Computer