Forskere har funnet en sammenheng mellom Sodinokibi og GandCrab ransomware

En ny kampanje med REvil ransomware (også kjent som Sodinokibi) bundet og har likhetstrekk med den GandCrab skadelig.

ENccording til forskere fra Secureworks Counter Counter Unit teamet, både malware kan være arbeid av samme forfatter.

“Analyse antyder at REvil er trolig knyttet til GandCrab ransomware grunn samme kode og fremveksten av REvil som GandCrab aktivitet falt”, - rapport i Secureworks® Counter Threat Unit ™.

GandCrab var en av de mest vellykkede ransomware familier i 2018 Og 2019. I juni, malware utviklere sa at de var i stand til å tjene $2 milliarder siden advent av GandCrab og besluttet å innskrenke sin virksomhet.

Les også: Brukerne er redd for å snakke om “STOPP” - en av de mest aktive ransomwares i år

REvil først dukket opp kort tid før avslutningen av GandCrab og ble en av de mest kjente ransomware familier 2019.

“REvil sikkert har noen kode kamp med GandCrab, og det er enda gjenstander som tyder på at det skulle være en evolusjon av GandCrab, og angriperne besluttet at GandCrab var moden for gjenbruk og restart”, - sa forsker Rafe Pilling Pilling.

Ifølge analysen av REvil, strengen dekodingsfunksjonene som brukes ved REvil og GandCrab er nesten identiske og viser en forbindelse mellom de to typer ransomware. Ondsinnede brukere også bruke URL-bygningen funksjonalitet som skaper de samme nettadressemønstre for C&C-servere.

Antagelig, REvil var opprinnelig ment å være en ny versjon av GandCrab, som det er linjer i koden som synes å være referanser til GandCrab. Disse inkluderer "gcfin,”Som forskere mener betyr“GandCrab finale,”Og“gc6,”Formodentlig betyr“GandCrab 6.

I tillegg til likheter i koden, REvil og GandCrab hviteliste viss tastaturoppsett for ikke å infisere, For eksempel, vertene av landene i det tidligere Sovjetunionen.

Selv om dette faktum ikke direkte koble de to kampanjer, Det antyder at deres forfattere er lokalisert i samme region.

Slik beskytter du deg mot smitte?

Som i denne publikasjonen, REvil inneholder ikke orm-lignende funksjoner som vil gjør det mulig å spre seg sideveis under en infeksjon. Det måtte bli droppet eller lastes ned via malware med denne evnen.

Den beste måten å begrense skadevirkningene fra ransomware er å opprettholde og kontrollere nåværende backup av verdifulle data. CTU forskere anbefaler at organisasjoner benytter en 3-2-1 backup strategi for å sikre en vellykket restaurering av data i tilfelle av en ransomware angrep.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen