Investigadores descubren parte de la infraestructura de #REVil
La unidad de I+D de
Resecurity
identificó una
fuerte conexión del grupoREvil/Sodinokibi
con una empresa de alojamiento en la nube e IoT que presta servicios al
dominio que pertenece a los ciberdelincuentes.
Según la
investigación reciente publicada por ReSecurity en Twitter, a partir de enero de 2021 REVil aprovechó un nuevo dominio
decoder[.]re
(82.146.34[.]4)además de una página de ransomware disponible en la red TOR. El nuevo dominio
se incluye dentro de las notas de rescate en las versiones reciente de
REVil.
Por lo general, la colaboración entre la víctima y REVil se
organizaba a través de una página en TOR, pero en el caso de que su víctima no
pueda acceder a Onion Network, el grupo preparó dominios disponibles en la web
abierta (sitio WWW), los cuales actúan como un "mirror".
Para acceder a la página en WWW o TOR, la víctima debe proporcionar un UID válido (por ejemplo, "9343467A488841AC"). Los investigadores adquirieron una cantidad significativa de UID y claves privadas como resultado de las muestras de ransomware recientes y mediante la colaboración con víctimas a nivel mundial.
Al igual que los dominios decryptor[.]cc y decryptor[.]top en versiones anteriores de REvil / Sodinokibi, el dominio decoder[.]re se utiliza para otorgar a las víctimas acceso al sitio WEB de los actores de amenazas para negociaciones posteriores. La aplicación alojada en él contiene una funcionalidad de "chat" que permite comunicaciones en tiempo real entre la víctima y REVil. Este sitio web también puede analizarse para determinar los DNS y servidores involucrados.
Los actores de la amenaza también usaron una dirección de correo electrónico
temporal desechable creada a través de https://guerrillamail[.]com.
Dichos correos electrónicos solo se pueden usar un número limitado de veces,
por ejemplo, todas las comunicaciones con ellos se eliminarán automáticamente
en 1 hora.
Resecurity pudo recopilar los registros DNS históricos y
disponibles, luego crear un
gráfico visual
que representa la infraestructura de red actual utilizada por REVil y
compartirlo con la comunidad de ciberseguridad.
Según los expertos, este paso puede facilitar la acción legal adecuada contra el ransomware, así como también señalar a las partes responsables de dicha actividad maliciosa, ya que los detalles descubiertos plantean preguntas importantes sobre la reacción de los proveedores de alojamiento y la aplicación de la ley.
Según la inteligencia de red y DNS recopilada por expertos, las IP asociadas a ella se rotaron al menos 3 veces en el primer trimestre de 2021 y estaban relacionadas con un proveedor de soluciones de IoT y alojamiento en la nube en particular ubicado en Europa del Este, que continúa brindándoles servicio.
"Es difícil creer que tal actividad maliciosa haya pasado desapercibida para ciertos gobiernos y haya causado daños a miles de empresas en todo el mundo", dijo Gene Yoo, director ejecutivo de Resecurity.
El presidente Joe Biden ordenó a las agencias de inteligencia estadounidenses que investiguen el sofisticado ataque de ransomware contra Kaseya presuntamente realizado por REVil, un notorio sindicato de ciberdelincuentes que se cree tiene vínculos con actores de habla rusa que antes perseguían objetivos de alto perfil como Apple y Acer.
También se cree que el grupo está detrás del exitoso ataque del mes pasado contra la empresa procesadora de carne más grande del mundo, JBS, que extorsionó U$S11 millones en rescate. REvil asumió la responsabilidad oficial del ataque y lanzó un anuncio en su blog que está disponible en la red TOR solicitando el pago de U$S 70 millones de Kaseya, la mayor demanda de pago de rescate conocida en la industria hoy en día.
El ataque ya ha afectado a más de 1.000 empresas en todo el mundo que han interrumpido sus operaciones. Una presunta víctima de la violación, el minorista Coop, con sede en Suecia, cerró al menos 800 tiendas durante el fin de semana después de que sus sistemas se desconectaran.
Actualización: Excelente análisis del ransomware por @cPeterr
Fuente: SecurityAffairs
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!