GandCrab je mrtav... Ili ipak nije?

Novi malver ima velike sličnosti sa ugašenim GandCrab malverom.

GandCrab je mrtav... Ili ipak nije?

Iako su GandCrab autori u junu najavili da prekidaju veliku ransomware operaciju jer su „dovoljno zaradili“, najnovija otkrića pokazuju da to nije (cela) istina. GandCrab je jedna od najuspešnijih RaaS platformi u protekle 2 godine. Vrednost tog posla je, prema tvrdnjama autora (koje svakako treba uzeti sa rezervom), iznosila preko 2 milijarde dolara.

Mnogi su bili skeptični kada je GandCrab grupa objavila prekidanje operacija, i ispostavilo se - bili u pravu. Nakon sumnji i špekulacija, istraživači su sada otkrili tehničke sličnosti između GandCrab i REvil malvera koje jasno ukazuju na to da se radi o istim autorima. REvil se pojavio malo pre gašenja GandCrab operacije, a poznat je i pod imenom Sodinokibi.

RaaS je skraćenica za ransomware-as-a-service, odnosno platformu koju autori za novac iznajmljuju drugim sajber kriminalcima kako bi mogli da koriste njihov ransomware u svojim napadima.

Postoji puno preklapanja u kodu ova dva malvera, a određene stvari ukazuju na to da je REvil zamišljen kao naredni korak u evoluciji GandCraba. Sličnosti se nalaze u funkcijama dekodiranja nizova, koje su gotovo identične, a dva malvera koriste istu funkcionalnost građenja linkova koja daje iste URL obrasce za C2 servere.

Još jedan od dokaza koji upućuju na to da je REvil napravljen kao naslednik GandCraba su određene linije u kodu koje imaju reference na GandCrab. Na primer, gcfin (GandCrab Final) i gc6 (GandCrab 6) koje su autori najverovatnije zaboravili da obrišu, što je bila povoljna okolnost za istraživače. Pored sličnosti u kodu, oba malvera ne napadaju uređaje u Rusiji, što je indikator da potiču iz iste oblasti.

GandCrab operacija je ugašena dok je još donosila zaradu sajber kriminalcima, a jedno od logičnih objašnjenja za taj potez je želja napadača da budu korak ispred državnih i drugih organizacija i pojedinaca koji se bore protiv sajber pretnji. Stoga su i uveli REvil malver kao noviju, napredniju verziju. Za kratko vreme REvil je postao jedna od najopasnijih sajber pretnji, a istraživači upozoravaju da bi, poput svog prethodnika, mogao postati vodeći ransomware današnjice.

Izvor: ZD Net