Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Исследователи обнаружили связь между вымогателями Sodinokibi и GandCrab

25/09/19

hack77-1Новая кампания с использованием вымогательского ПО REvil (также известного как Sodinokibi) имеет общие черты с вредоносом GandCrab. По словам исследователей из команды Counter Threat Unit компании Secureworks, оба вредоноса могут быть делом рук одного автора.

GandCrab был одним из самых успешных семейств вымогателей в 2018 и 2019 годах. В июне разработчики вредоноса рассказали о том, что смогли заработать $2 млрд с момента появления GandCrab и приняли решение свернуть свой бизнес. REvil же впервые появился незадолго до прекращения деятельности GandCrab и стал одним из самых известных семейств вымогательского ПО в 2019 году.

«REvil, безусловно, имеет некоторое совпадение кода с GandCrab, и там даже есть артефакты, которые предполагают, что он должен был стать эволюцией GandCrab, и злоумышленники решили, что GandCrab созрел для повторного использования и перезапуска», — отмечает исследователь Рэйф Пиллинг (Rafe Pilling).

По результатам анализа REvil, функции декодирования строк, используемые REvil и GandCrab, практически идентичны и указывают на связь между двумя видами вымогателей. Вредоносы также используют функциональность построения URL-адресов, которая создает одинаковые шаблоны URL для C&C-серверов. Предположительно, REvil изначально должен был стать новой версией GandCrab, поскольку в коде есть строки, которые, судя по всему, являются отсылками к GandCrab. К ним относятся «gcfin», который, как полагают исследователи, означает «GandCrab Final», и «gc6», предположительно означающий «GandCrab 6».

В дополнение к сходству в коде, REvil и GandCrab вносят в белый список определенные раскладки клавиатуры, чтобы не заразить российские хосты. Хотя данный факт напрямую не связывает две кампании, он предполагает расположение их авторов в одном регионе.

Темы:УгрозыGandCrabВымогателиSecureworks
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...