LV 勒索軟件運營商重新利用 REvil 二進制文件來啟動新型 RaaS

LV 勒索軟件運營商重新利用了 REvil 二進制文件來創建自己的strain并推出勒索軟件即服務 (RaaS)。

一個被稱為 LV 勒索軟件團伙的威脅行為者正試圖進入網絡犯罪領域，它重新利用了一個 REvil 二進制文件，幾乎是為了創造自己的strain并推出勒索軟件即服務 (RaaS)。

該Sodinokibi /雷維爾是在威脅環境的主要勒索操作之一，如果進行對高知名度的目標很多攻擊，包括肉類加工巨頭JBS和美國的核武器承包商索爾東方明珠Oriens。

REvil 是一個在俄羅斯境外運營的組織，勒索軟件團伙的活動也在上次 G7 會議上討論過。

G7 成員國呼吁俄羅斯和其他國家拆除在其國內經營的勒索軟件團伙的活動。

本周，將 REvil 團伙稱為 GOLD SOUTHFIELD 的 Secureworks 的專家發現，另一個被安全公司跟蹤為 GOLD NORTHFIELD 的勒索軟件組織重新利用了 REvil 二進制文件來啟動自己的 RaaS。

情況說明了多種情況，REvil 將源代碼出售給 LV 勒索軟件團伙，LV 勒索軟件團伙竊取了源代碼，或者只是作為新伙伴關系的一部分，兩個團伙共享了代碼。

“Secureworks?反威脅單位?（CTU）的研究人員調查報告，該LV勒索具有相同的代碼結構的雷維爾。這種重疊可能表明運營 REvil的GOLD SOUTHFIELD網絡犯罪威脅組織出售了源代碼、源代碼被盜，或者 GOLD SOUTHFIELD 作為合作伙伴關系的一部分與另一個威脅組織共享了代碼。” 閱讀Secureworks 發布的分析。“CTU? 分析證實， 運營 LV的 GOLD NORTHFIELD威脅組織替換了 REvil v2.03 測試版的配置，以將 REvil 二進制文件重新用于 LV 勒索軟件。”

CTU 專家尚未在地下論壇上發現與勒索軟件相關的任何廣告，但他們注意到 LV 配置中合作伙伴和活動 ID 的變化以及新組織使用的命名約定，這可能是因為新生團伙將推出 RaaS。

專家比較了LV勒索軟件和REvil的源代碼，發現它們的代碼結構和功能完全相同。LV 運營商可能使用十六進制編輯器來修改 REvil 的二進制文件，并繞過 REvil 實施的防篡改控制替換勒索軟件配置，以確保配置的完整性。

“GOLD NORTFIELD 還必須生成更新的加密配置的 CRC32 哈希，然后用更新配置的 CRC32 哈希替換存儲在二進制文件中的硬編碼預計算 CRC32 哈希。” 繼續分析。“這些更改是必要的，因為 REvil 代碼在運行時計算配置的 CRC32 哈希值，如果計算的和硬編碼的哈希不匹配，則終止。”

然后 GOLD NORTHFIELD 可以通過定義的配置部分 (.7tdlvx) 將用于加密配置的 RC4 密鑰、加密配置的 CRC32 哈希、加密配置的長度和加密配置本身添加到 REvil 二進制文件中。命令。

在訪問贖金支付網站時，受害者必須以基本形式提供贖金票據中的密鑰。

CTU 專家發現了 LV 團伙使用的三個贖金支付 Tor 域，并在 LV 贖金票據中報告。這些域成功加載了登錄頁面，但嘗試提交贖金票據中的密鑰時，研究人員收到了 HTTP 錯誤。

Secureworks 專家還確定了兩個看似獨立運行的 LV 勒索軟件泄漏站點，但兩個站點上都只列出了一名受害者。在撰寫本文時，尚未公開有關它們的敏感數據。

“在 GOLD NORTFIELD 的發展過程中，現在評估它構成的威脅還為時過早。重新利用 REvil 二進制文件的能力表明威脅參與者具有技術能力。此外，這種重新利用所需的復雜性以及 LV 樣本之間的配置變化表明，GOLD NORTFIELD 可能已經實現了該過程的自動化。” 分析結束。