Una nueva campaña con el ransomware revil (también conocido como Sodinokibi) ligada y tiene similitudes con el malware GandCrab.
UNAe acuerdo con investigadores de la Unidad de contador equipo SecureWorks Contador, tanto el malware puede ser la obra del mismo autor.“El análisis sugiere que revil probablemente se asocie con el ransomware GandCrab debido al código similar y la aparición de revil ya que la actividad se redujo GandCrab”, - Informe de la Unidad de Amenazas Secureworks® Counter ™.
GandCrab era una de las familias más exitosas en ransomware 2018 y 2019. En junio, los desarrolladores de malware dijeron que eran capaces de ganar $2 mil millones desde el advenimiento de GandCrab y decidió reducir su negocio.
leer también: Los usuarios tienen miedo a hablar de la “STOP” - uno de los más activos ransomwares de este año
Revil apareció por primera vez poco antes de la terminación de GandCrab y se convirtió en una de las familias más famosas de ransomware 2019.
“Revil sin duda tiene alguna coincidencia de código con GandCrab, y hay incluso artefactos que sugieren que se supone que es una evolución del GandCrab, y los atacantes decidieron que GandCrab estaba maduro para la reutilización y el reinicio”, - dijo el investigador Rafe Pilling Pilling.
Según el análisis de Revil, las funciones de decodificación cadena utilizados por Revil y GandCrab son casi idénticos e indican una conexión entre los dos tipos de ransomware. Los usuarios malintencionados también utilizan la funcionalidad de creación de URL que crea los mismos patrones de URL para C&servidores C.
Presumiblemente, Revil originalmente iba a ser una nueva versión de GandCrab, ya que hay líneas en el código que aparecen como referencias a GandCrab. Éstos incluyen "gcfin,”Que los investigadores creen que los medios“GandCrab final,”Y“GC6,”Probablemente significa“GandCrab 6.”
Además de las similitudes en el código, Revil y GandCrab lista blanca cierta teclado Todas las disposiciones a fin de no infectar, Por ejemplo, los ejércitos de los países de la antigua URSS.
Aunque este hecho no se conecta directamente a las dos campañas, sí sugiere que sus autores se encuentran en la misma región.
Cómo protegerse de la infección?
A partir de esta publicación, Revil no contiene características similares a gusanos que le permitirían a extenderse lateralmente durante una infección. Se tendría que ser soltado o descargado a través de software malicioso con esta capacidad.
La mejor manera de limitar el daño de ransomware es mantener y verificar las copias de seguridad actuales de los datos valiosos. CTU investigadores recomiendan que las organizaciones utilizan una 3-2-1 estrategia de copia de seguridad para garantizar la correcta restauración de los datos en caso de un ataque ransomware.
