Expertos de Palo Alto Network analizaron el ransomware del grupo de hackers Ransom Cartel y creen que es muy similar al malware REvil. Aunque no hay evidencia concluyente de una conexión entre estos grupos, los investigadores creen que los ex miembros de REvil podrían haber fundado el Ransom Cartel.
Permítanme recordarles que REvil fue uno de los grupos de extorsión más grandes y famosos. En particular, REvil es responsable del hackeo de alto perfil del proveedor de soluciones MSP Kaseya en 2021, así como del ataque al productor de carne más grande del mundo, JBS.
La actividad del grupo cesó en enero de 2022, luego de que el FSB anunciara el arresto de 14 personas asociadas con el grupo de piratería, y se realizaron registros en 25 direcciones en las regiones de Moscú, San Petersburgo, Leningrado y Lipetsk. Al mismo tiempo, se informó que «la base para las actividades de búsqueda fue el recurso de las autoridades estadounidenses competentes».
Luego, el Tribunal Tverskoy de Moscú detuvo a ocho presuntos miembros del grupo de hackers. Todos ellos fueron acusados de la adquisición y almacenamiento de fondos electrónicos destinados a la transferencia ilegal de fondos realizada por un grupo organizado (parte 2 del artículo 187 del Código Penal de la Federación Rusa).
Posteriormente, los medios informaron que la investigación del caso penal prácticamente había llegado a un callejón sin salida, ya que las autoridades estadounidenses se negaron a seguir cooperando con Rusia, y solo pudieron acusar a los sospechosos de fraude con tarjetas bancarias de dos mexicanos residentes en Estados Unidos. .
En diciembre de 2021, apareció en escena un nuevo ransomware Ransom Cartel que, como ya señalaron los expertos, es en muchos aspectos similar al malware REvil. Ahora, el malware ha sido estudiado por analistas de Palo Alto Network, y también escriben sobre una posible conexión entre los dos grupos.
El hecho es que el código fuente del cifrador REvil nunca se ha «filtrado» y no se ha distribuido abiertamente. Es decir, en cualquier proyecto nuevo que utilice fuentes similares, inmediatamente sospechan que se trata de un cambio de marca de REvil o de una nueva amenaza, cuyo origen son los ex miembros de REvil.
Al analizar el malware Ransom Cartel, los investigadores encontraron similitudes en la estructura de configuración del malware, aunque las ubicaciones de almacenamiento difieren. Por lo tanto, faltan algunos valores de configuración en el código de Ransom Cartel, y esto, según los expertos, significa que los autores del malware están tratando de hacerlo más compacto o que la versión anterior del malware REvil es la base para este ransomware.
Lo más fuerte de las similitudes entre los dos ransomware son los esquemas de cifrado que utilizan. Las muestras de Ransom Cartel también generan múltiples pares de claves y secretos públicos y privados, casi idénticos al complejo sistema utilizado por REvil.
“Ambos ransomware utilizan Salsa20 y Curve25519 para cifrar archivos, y hay muy pocas diferencias en la estructura del procedimiento de cifrado”, escriben los investigadores.
Al mismo tiempo, las muestras de Ransom Cartel no contienen una ofuscación tan grave como la que se encontró en el malware REvil. Esto puede significar que los autores del nuevo ransomware no tienen acceso al mecanismo original de ofuscación de REvil.
Otra diferencia es el uso que utiliza Ransom Cartel para robar las credenciales de la API de protección de datos de Windows (DPAPI). Para este propósito, el grupo utiliza la muy rara herramienta DonPAPI, que puede buscar en los hosts blobs DPAPI que contienen claves Wi-Fi, contraseñas RDP y credenciales almacenadas en los navegadores, y luego descargarlos y descifrarlos localmente en la máquina. Estas credenciales luego se utilizan para comprometer los servidores Linux ESXi y autenticarse en las interfaces web de vCenter.
“Actualmente creemos que los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil, pero no a los últimos desarrollos. Esto sugiere que en algún momento hubo una relación entre los grupos, aunque puede haber sido hace mucho tiempo”, concluyen los investigadores.
Curiosamente, a pesar de la falta de filtraciones de los códigos fuente de REvil, Ransom Cartel no es el único grupo que utiliza los desarrollos de REvil en sus ataques. Entonces, en abril de 2022, cuando los sitios de REvil Tor reanudaron su trabajo inesperadamente , se descubrió un nuevo ransomware BlogXX , no solo compilado en base al código fuente de REvil, sino que también contenía una serie de cambios.
Luego, los expertos en seguridad informática escribieron que los autores de BlogXX claramente tienen el código fuente de REvil. Además, cuando los sitios Tor de REvil volvieron a funcionar, los visitantes pronto fueron redirigidos al sitio BlogXX. Aunque este recurso no era como los sitios anteriores de REvil, el hecho de que los sitios antiguos comenzaran a redirigir a los visitantes a los sitios de BlogXX sugirió que alguien en el nuevo grupo de piratas informáticos tenía acceso a las claves privadas de Tor que les permitieron realizar los cambios necesarios.