En ny kampagne ved hjælp af REvil ransomware (også kendt som Sodinokibi) forbundet og har ligheder med den GandCrab malware.
ENccording til forskere fra Secureworks Counter Counter Unit hold, både malware måske arbejdet i den samme forfatter.”Analyser viser, at REvil sandsynligvis er forbundet med GandCrab ransomware grund lignende kode og fremkomsten af REvil som GandCrab aktivitet afvist”, - rapport i Secureworks® Counter Threat Unit ™.
GandCrab var en af de mest succesfulde ransomware familier i 2018 og 2019. I juni, malware udviklere sagde, at de var i stand til at tjene $2 milliard siden indførelsen af GandCrab og besluttede at indskrænke deres virksomhed.
Læs også: Brugerne er bange for at tale om ”STOP” - en af de mest aktive ransomwares af dette år
REvil dukkede først kort før afslutningen af GandCrab og blev en af de mest berømte ransomware familier i 2019.
”REvil sikkert har noget kode match med GandCrab, og der er endda artefakter, der tyder på det skulle være en videreudvikling af GandCrab, og angriberne besluttet at GandCrab var moden til genbrug og genstart”, - nævnte forsker Rafe Pilling Pilling.
Ifølge analysen af REvil, de snor afkodning funktioner, der anvendes af REvil og GandCrab er næsten identiske og indikerer en forbindelse mellem de to typer af ransomware. Ondsindede brugere bruger også URL-bygning funktionalitet, der giver den samme URL mønstre for C&C servere.
Formentlig, REvil blev oprindeligt skulle være en ny version af GandCrab, som der er linjer i koden, der synes at være henvisninger til GandCrab. Disse inkluderer ”gcfin,”, Som forskere mener betyder”GandCrab Final,”Og”GC6,”Formentlig betyder”GandCrab 6.”
Ud over de ligheder i koden, REvil og GandCrab whitelist vis tastaturlayout for ikke at inficere, For eksempel, værterne i landene i det tidligere Sovjetunionen.
Selv om dette faktum ikke direkte forbinde de to kampagner, Det antyder, at deres forfattere er placeret i samme region.
Sådan beskytter du dig mod infektion?
Som i denne publikation, REvil indeholder ikke ormelignende funktioner, der ville gøre det muligt at sprede sideværts under en infektion. Det vil være nødvendigt at være faldet eller downloades via malware med denne evne.
Den bedste måde at begrænse skaderne fra ransomware er at fastholde og kontrollere de aktuelle backup af værdifulde data. CTU forskere anbefaler, at organisationer ansætter en 3-2-1 backup strategi for at sikre en vellykket restaurering af data i tilfælde af en ransomware angreb.
