REvil ha vuelto; El codificador quitó su clave de descifrado con dedos gordos. - Calendae | Informática, Electrónica, CMS, Ciberseguridad

REvil ha vuelto; El codificador quitó su clave de descifrado con dedos gordos.

Hola, ¿qué tal colega?. Soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre REvil ha vuelto; El codificador quitó su clave de descifrado con dedos gordos.

REvil ha vuelto; El codificador quitó su clave de descifrado con dedos gordos.

¿Cómo consiguió Kaseya un descifrador universal después de un ataque de ransomware alucinante? Un programador de REvil hizo clic mal, lo generó y lo emitió, y «Así es como cagamos».

Los tentáculos de la banda de ransomware REvil volvieron a estallar la semana pasada, con los servidores de la banda de ransomware de nuevo Online, una nueva víctima en su sitio, los pagos de ransomware regresaron y fluyeron, y una explicación de por qué están allí. .

Un supuesto representante de REvil también abordó una serie de preguntas, que incluyen:

Q: ¿Cómo Kaseya, un desarrollador de soluciones de TI para proveedores de servicios administrados (MSP), consiguió una clave de descifrado universal filtrada Online después de que REvil lanzó una de las mayores oleadas de ransomware de la historia contra él y 60 de sus clientes MSP el 2 de julio?

A: La respuesta corta: un programador de REvil se equivocó.

Según lo informado por Flashpoint, REvil publicó dos veces en el foro clandestino Exploit el viernes 10 de septiembre para aclarar lo que sucedió durante el proceso de generación de claves relacionado con Kaseya y cómo un programador hizo la generación y pérdida de la clave universal.

Flashpoint proporcionó esta traducción ligeramente modificada: «Uno de nuestros programadores hizo un clic incorrecto y generó una clave universal y emitió la clave de descifrado universal junto con un montón de claves para un automóvil. Así es como nos cagamos».

El supuesto nuevo representante de REvil, que opera bajo el seudónimo «REvil», explicó que el proceso de encriptación de la organización criminal permite la generación de una clave de desencriptación universal o claves individuales para cada una de las máquinas encriptadas de una víctima. En el proceso de generar claves para Kaseya y sus MSP víctimas, REvil tuvo que generar entre 20 y 500 claves de descifrado para cada víctima individual, porque las víctimas de ese ataque tenían redes de diferentes tamaños.

REvil utilizó copias de seguridad para escanear hacia atrás

El nuevo representante explicó que REvil logró volver a conectarse utilizando las copias de seguridad de afiliaciones criminales.

Según los analistas de Flashpoint, esta es aparentemente la primera vez que REvil aparece en el foro clandestino en ruso Exploit desde que sus servidores se desconectaron sin una explicación en julio, una desaparición que siguió rápidamente a raíz del ataque desde lo alto. Perfil de Kaseya .

Después de ese ataque, los servidores Tor y la infraestructura de la banda fallaron y el investigador de seguridad @ Pancak3 descubrió que la clave maestra de descifrado se había filtrado en un foro clandestino. El investigador publicó una captura de pantalla de la clave en Twitter y GitHub.

Fue una clave específica para el ataque de Kaseya y funcionó para desenredar a las víctimas de ese ataque. Nadie en ese momento estaba muy seguro de cómo Kaseya pudo haber obtenido la clave, pero la compañía afirmó que provenía de un «tercero de confianza».

Copia de seguridad de REvil

La siguiente captura de pantalla, capturada por Flashpoint, muestra el nuevo registro de REvil en Exploit. Fue tomada alrededor de las 10 am EST el pasado jueves 9 de septiembre.

Captura de pantalla de la grabación de REvil Exploit. Fuente: punto de inflamación.

Dos días antes, martes 7 de septiembre, el sitio de escape de REvil, conocido como Happy Blog, fue restaurado y ahora está «completamente operativo», según Flashpoint: «Para todos los efectos, parece que REvil está completamente operativo después de su pausa. «escribieron los investigadores de Flashpoint.

El mismo día, el sitio de pago / comercio de REvil, Tor, también volvió a la vida de repente. Para el jueves, las víctimas pudieron volver a iniciar sesión y negociar con el grupo. Tal como estaban las cosas, esas víctimas se habían quedado secas después de la desaparición de REvil el 13 de julio, lo que las dejó sin clave de descifrado y sin capacidad para negociar un rescate para poder obtener una.

Como informó BleepingComputer, las víctimas anteriores restablecieron el temporizador de pago de rescate.

En este punto, también hay evidencia de desarrollo activo. El jueves 9 de septiembre, se subió a VirusTotal una nueva muestra de ransomware REvil, compilada el 4 de septiembre.

Además, el sábado, la pandilla publicó capturas de pantalla de los datos robados de la nueva víctima en su sitio de filtración de datos como una prueba más de que REvil, de hecho, está nuevamente en acción.

¿Por qué REvil Shut Up Shop en primer lugar?

El jueves, el nuevo representante, REvil, explicó en publicaciones en los foros criminales que el grupo había desconectado brevemente sus servidores porque pensaban que el antiguo representante, Unk / Unknown, había sido arrestado y los servidores de REvil habían sido comprometidos.

Advanced Intel ha adquirido y traducido algunas de las nuevas publicaciones del representante de REvil, que la compañía de ciberdelitos y desórdenes adversarios ha compartido con BleepingComputer. Se muestran a continuación:

Fuente: Intel Advanced.

Traducción avanzada de Intel:

Cuando Desconocido (también conocido como 8800) desapareció, nosotros (los programadores) hicimos una copia de seguridad y cerramos todos los servidores. Pensé que estaba arrestado. Intentamos buscar, pero fue en vano. Esperamos, no apareció y restauramos todo desde las copias de seguridad.

Después de que UNKWN desapareció, el proveedor de servicios de hosting nos informó que los servidores de Clearnet habían sido comprometidos y los borró de inmediato. Cerramos el servidor principal con las claves inmediatamente después.

El descifrador Kaseya, que habría sido filtrado por la policía, de hecho, fue filtrado por uno de nuestros operadores durante la generación del descifrador. – Revil

La aplicación de la ley puso sus manos en el descifrador y cerró los servidores fue una posibilidad que se lanzó después de que los servidores de REvil se apagaran. Lo mismo sucedió con la idea de que REvil pudo haberse reencarnado como el nuevo grupo de ransomware BlackMatter.

Pero si las publicaciones de REvil en Exploit, et al., Resultan ser precisas, ninguna de estas teorías se sostiene. De hecho, como varias fuentes le dijeron a BleepingComputer, la desaparición de REvil «sorprendió a la policía tanto como a todos los demás».

Sea amable con los afiliados descontentos

Además de resurgir, REvil aparentemente está tratando de restaurar su credibilidad. Parece que el REvil renacido, que es un jugador de ransomware como servicio (RaaS) que alquila su equipo de ransomware a afiliados, está tratando de arreglar las cosas con afiliados descontentos que se quejan de pagos atrasados ​​después de la desaparición del grupo.

Cuando reapareció Happy Blog, algunos actores de amenazas abrieron casos de arbitraje contra REvil en foros clandestinos.

Los analistas de Flashpoint observaron a un actor de amenazas, «boriselcin», abriendo un caso de arbitraje contra el portavoz de REvil UNKN, también conocido como Desconocido, en el foro en idioma ruso XSS. El actor afirmó que UNKN les debía dinero y quería ser compensado ahora que el grupo ha vuelto a funcionar.

Pero el jueves 8 de septiembre, la tormenta había pasado, ya que boriselcin cerró la denuncia diciendo que se había resuelto.

Sin embargo, Flashpoint predijo que más ex afiliados podrían presentar casos similares.

Es hora de convertir la caza de amenazas en una búsqueda de adversarios. PALO Threatpost y Cybersixgill para Caza de amenazas para capturar oponentes, no solo para detener ataques y obtenga una visita guiada por la web oscura y aprenda a rastrear a los actores de amenazas antes de su próximo ataque. SUSCRÍBASE AHORA para la discusión EN VIVO el 22 de septiembre a las 2 pm EST con Sumukh Tendulkar y Edan Cohen de Cybersixgill, junto con el investigador independiente y vCISO Chris Roberts y la presentadora de Threatpost Becky Bracken.

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *