Actualités

“Le ransomware LV avait la même structure de code que REvil” : une vente ou un vol du code-source de REvil ?

Toujours concernant REvil, dont l’actualité ne désemplie pas, il semble que le groupe de cyber-attaquants, à l’approche des vacances d’été a eu un besoin de liquidité (?). Une hypothèse avancée par l’équipe sécuritaire Secureworks Counter Threat Unit (CTU) qui a relevé des marqueurs-signatures similaires à un autre ransomware : LV…

 

 

Le ransomware LV avait la même structure de code que REvil. Ce chevauchement pourrait indiquer que le groupe de menaces cybercriminelles GOLD SOUTHFIELD qui exploite REvil a vendu le code source, que le code source a été volé ou que GOLD SOUTHFIELD a partagé le code avec un autre groupe de menaces dans le cadre d’un partenariat. L’analyse CTU a confirmé que le groupe de menaces GOLD NORTHFIELD, qui exploite LV, a remplacé la configuration d’une version bêta de REvil v2.03 pour réutiliser le binaire REvil pour le ransomware LV“, est-il avancé dans un communiqué du 22 Juin 2021, tout en soumettant l’idée que le ransomware pourrait être de type Ransomware-as-a-Service (RaaS). Si, pour l’heure, aucune évolution de ce recyclage n’a été constatée, il est avancé que le code ainsi ré-utilisé suggère une infrastructure complexe qui a vraisemblablement besoin d’apposer très rapidement le système frauduleux tout en finançant le moins possible les outils et ressources nécessaires à l’établissement d’un tel code.

 

 Identifiants des partenaires (liens, URLs), configuration DMN ou encore la clé publique (public key, PK) ont été modifiés ce qui suggère soit un déménagement des cyber-attaquants (jusque dans le nom ?) soit une vente ou une fuite du code vers le cyber-groupe LV qui a décidé de varier les plaisirs en incorporant des systèmes non-matériels ; d’où l’hypothèse d’un RaaS… A veiller !

 

Source : Secureworks – 22 Juin 2021 – REvil, Sodinokibi : vente, vol, déménagement ou partenariat (?) avec les cyber-attaquants LV.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0