De onderzoekers vonden een verband tussen Sodinokibi en GandCrab ransomware

Een nieuwe campagne met behulp van de revil ransomware (ook bekend als Sodinokibi) met elkaar verbonden en heeft overeenkomsten met de GandCrab malware.

EENolgens onderzoekers van de SecureWorks Counter Counter Unit team, zowel malware kan zijn het werk van dezelfde auteur.

“Analyse suggereert dat Revil waarschijnlijk behoort bij de GandCrab ransomware vanwege soortgelijke code en de opkomst van Revil als GandCrab activiteit gedaald”, - verslag in Secureworks® Counter Threat Unit ™.

GandCrab was één van de meest succesvolle ransomware families in 2018 En 2019. In juni, malware ontwikkelaars zeiden dat ze waren in staat om geld te verdienen $2 miljard sinds de komst van GandCrab en besloten om hun bedrijf te beperken.

Lees ook: Gebruikers zijn bang om te praten over de “STOP” - een van de meest actieve ransomwares van dit jaar

Revil eerst verscheen kort voor de beëindiging van GandCrab en werd een van de beroemdste ransomware families in 2019.

“Revil heeft zeker een stukje code match met GandCrab, en er zijn zelfs artefacten die suggereren dat het moest een evolutie van GandCrab zijn, en de aanvallers besloten dat GandCrab rijp was voor hergebruik en herstart”, - zei onderzoeker Rafe Pilling Pilling.

Volgens de analyse van revil, de string decodering gebruikt Revil en GandCrab zijn vrijwel identiek en duiden op een verbinding tussen de twee soorten ransomware. Kwaadwillende gebruikers ook gebruik maken van URL-gebouw functionaliteit die dezelfde URL patronen voor C creëert&C-servers.

Vermoedelijk, Revil werd oorspronkelijk verondersteld om een ​​nieuwe versie van GandCrab zijn, want er zijn regels in de code die lijken te verwijzingen naar GandCrab zijn. Deze omvatten "gcfin,”Die onderzoekers geloven betekent“GandCrab Final,”En“GC6,”Vermoedelijk betekenend“GANDCRAB 6.

Naast de overeenkomsten in de code, Revil en GandCrab witte lijst sommige toetsenborden om niet te besmetten, Bijvoorbeeld, de gastheren van de landen van de voormalige Sovjet-Unie.

Hoewel dit feit de twee campagnes niet direct aan te sluiten, het doet suggereren dat de auteurs bevinden zich in dezelfde regio.

Hoe kun je jezelf beschermen tegen infectie?

Met ingang van deze publicatie, Revil niet worm-achtige functies die het in staat zou stellen om lateraal te verspreiden tijdens een infectie in te dammen. Het zou moeten worden geschrapt of gedownload via malware met deze mogelijkheid.

De beste manier om de schade van ransomware te beperken is het handhaven en controleren huidige back-ups van waardevolle gegevens. CTU onderzoekers bevelen aan dat organisaties maken gebruik van een 3-2-1 backup-strategie om succesvol herstel van gegevens te waarborgen in het geval van een ransomware aanval.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop