LV 勒索软件运营商重新利用 REvil 二进制文件来启动新型 RaaS

LV 勒索软件运营商重新利用了 REvil 二进制文件来创建自己的strain并推出勒索软件即服务 (RaaS)。

一个被称为 LV 勒索软件团伙的威胁行为者正试图进入网络犯罪领域，它重新利用了一个 REvil 二进制文件，几乎是为了创造自己的strain并推出勒索软件即服务 (RaaS)。

该Sodinokibi /雷维尔是在威胁环境的主要勒索操作之一，如果进行对高知名度的目标很多攻击，包括肉类加工巨头JBS和美国的核武器承包商索尔东方明珠Oriens。

REvil 是一个在俄罗斯境外运营的组织，勒索软件团伙的活动也在上次 G7 会议上讨论过。

G7 成员国呼吁俄罗斯和其他国家拆除在其国内经营的勒索软件团伙的活动。

本周，将 REvil 团伙称为 GOLD SOUTHFIELD 的 Secureworks 的专家发现，另一个被安全公司跟踪为 GOLD NORTHFIELD 的勒索软件组织重新利用了 REvil 二进制文件来启动自己的 RaaS。

情况说明了多种情况，REvil 将源代码出售给 LV 勒索软件团伙，LV 勒索软件团伙窃取了源代码，或者只是作为新伙伴关系的一部分，两个团伙共享了代码。

“Secureworks®反威胁单位™（CTU）的研究人员调查报告，该LV勒索具有相同的代码结构的雷维尔。这种重叠可能表明运营 REvil的GOLD SOUTHFIELD网络犯罪威胁组织出售了源代码、源代码被盗，或者 GOLD SOUTHFIELD 作为合作伙伴关系的一部分与另一个威胁组织共享了代码。” 阅读Secureworks 发布的分析。“CTU™ 分析证实， 运营 LV的 GOLD NORTHFIELD威胁组织替换了 REvil v2.03 测试版的配置，以将 REvil 二进制文件重新用于 LV 勒索软件。”

CTU 专家尚未在地下论坛上发现与勒索软件相关的任何广告，但他们注意到 LV 配置中合作伙伴和活动 ID 的变化以及新组织使用的命名约定，这可能是因为新生团伙将推出 RaaS。

专家比较了LV勒索软件和REvil的源代码，发现它们的代码结构和功能完全相同。LV 运营商可能使用十六进制编辑器来修改 REvil 的二进制文件，并绕过 REvil 实施的防篡改控制替换勒索软件配置，以确保配置的完整性。

“GOLD NORTFIELD 还必须生成更新的加密配置的 CRC32 哈希，然后用更新配置的 CRC32 哈希替换存储在二进制文件中的硬编码预计算 CRC32 哈希。” 继续分析。“这些更改是必要的，因为 REvil 代码在运行时计算配置的 CRC32 哈希值，如果计算的和硬编码的哈希不匹配，则终止。”

然后 GOLD NORTHFIELD 可以通过定义的配置部分 (.7tdlvx) 将用于加密配置的 RC4 密钥、加密配置的 CRC32 哈希、加密配置的长度和加密配置本身添加到 REvil 二进制文件中。命令。

在访问赎金支付网站时，受害者必须以基本形式提供赎金票据中的密钥。

CTU 专家发现了 LV 团伙使用的三个赎金支付 Tor 域，并在 LV 赎金票据中报告。这些域成功加载了登录页面，但尝试提交赎金票据中的密钥时，研究人员收到了 HTTP 错误。

Secureworks 专家还确定了两个看似独立运行的 LV 勒索软件泄漏站点，但两个站点上都只列出了一名受害者。在撰写本文时，尚未公开有关它们的敏感数据。

“在 GOLD NORTFIELD 的发展过程中，现在评估它构成的威胁还为时过早。重新利用 REvil 二进制文件的能力表明威胁参与者具有技术能力。此外，这种重新利用所需的复杂性以及 LV 样本之间的配置变化表明，GOLD NORTFIELD 可能已经实现了该过程的自动化。” 分析结束。