О подозрительной связи RaaS-группировки Ransom Cartel и REvil заявили исследователи из подразделения Unit 42 компании Palo Alto Networks. Согласно их отчету, Ransom Cartel начала свою деятельность всего через два месяца после развала REvil.
По словам специалистов Unit 42, когда Ransom Cartel только появилась, было неясно чем она является – REvil под другим названием или никак не связанной с REvil группировкой, которая просто подражает печально известной банде хакеров.
Но когда Ransom Cartel начала использовать определенный набор инструментов, все начало вставать на свои места. Эксперты рассказали, что группировка использует не только популярные среди вымогателей тактики, но и необычные инструменты (например, DonPAPI, который ранее не применялся в атаках вымогателей).
Исследователи отмечают, что у операторов Ransom Cartel есть доступ к исходному коду шифровальщика REvil, но они не имеют в своем арсенале механизм обфускации, который используется для шифрования строк и скрытия вызовов API.
Опираясь на все вышесказанное, специалисты сделали вывод, что Ransom Cartel активно сотрудничала с REvil до того, как стала полноценной группировкой.
В заключении отчета Unit 42 предупреждает о возможном росте атак с использованием вредоносов от Ransom Cartel и призывает большие компании установить специальное защитное ПО, так как группировка нацелена именно на “крупную добычу”.
Узнать больше технических подробностей о Ransom Cartel и ознакомиться с индикаторами компрометации можно здесь .
Источник: SecurityLab