25/09/19
Новая кампания с использованием вымогательского ПО REvil (также известного как Sodinokibi) имеет общие черты с вредоносом GandCrab. По словам исследователей из команды Counter Threat Unit компании Secureworks, оба вредоноса могут быть делом рук одного автора.
GandCrab был одним из самых успешных семейств вымогателей в 2018 и 2019 годах. В июне разработчики вредоноса рассказали о том, что смогли заработать $2 млрд с момента появления GandCrab и приняли решение свернуть свой бизнес. REvil же впервые появился незадолго до прекращения деятельности GandCrab и стал одним из самых известных семейств вымогательского ПО в 2019 году.
«REvil, безусловно, имеет некоторое совпадение кода с GandCrab, и там даже есть артефакты, которые предполагают, что он должен был стать эволюцией GandCrab, и злоумышленники решили, что GandCrab созрел для повторного использования и перезапуска», — отмечает исследователь Рэйф Пиллинг (Rafe Pilling).
По результатам анализа REvil, функции декодирования строк, используемые REvil и GandCrab, практически идентичны и указывают на связь между двумя видами вымогателей. Вредоносы также используют функциональность построения URL-адресов, которая создает одинаковые шаблоны URL для C&C-серверов. Предположительно, REvil изначально должен был стать новой версией GandCrab, поскольку в коде есть строки, которые, судя по всему, являются отсылками к GandCrab. К ним относятся «gcfin», который, как полагают исследователи, означает «GandCrab Final», и «gc6», предположительно означающий «GandCrab 6».
В дополнение к сходству в коде, REvil и GandCrab вносят в белый список определенные раскладки клавиатуры, чтобы не заразить российские хосты. Хотя данный факт напрямую не связывает две кампании, он предполагает расположение их авторов в одном регионе.
