Resecurity a identifié une toute nouvelle version de Nevada Ransomware qui vient d’émerger sur le Dark Web juste avant le début de 2023. Les stars derrière ce tout nouveau travail ont une plate-forme d’affiliation introduite pour la première fois sur le RAMP communauté souterraine, qui est comprise pour l’accès initial aux courtiers (IAB) et autres acteurs cybercriminels et groupes de rançongiciels.
Vers le 1er février 2023, le groupe a diffusé un casier mis à jour écrit en Rust pour ses affiliés prenant en charge Windows, Linux et ESXi. Ce langage de programmes est devenu un modèle pour les concepteurs de ransomwares de nos jours (Blackcat, RansomExx2, Ruche, Luna, Programme). Ces mises à jour ont depuis fourni des performances améliorées et des ajustements substantiels pour améliorer le panneau d’affiliation. Une autre mise à jour importante a été déterminée vers le 20 janvier, ce qui peut vérifier comment la tâche se développe activement. Le Nevada Ransomware offre des conditions vraiment attrayantes et compétitives – 85% (pour s’associer) avec un coup de pouce supplémentaire à 90% en supposant des progrès supplémentaires. Le 10 décembre 2022, l’acteur ‘nebel’ a publié un article sur le Dark Web décrivant le tout nouveau projet et a ensuite continué à inviter de nouveaux affiliés.
En particulier, les stars acquièrent également un accès compromis à des développements supplémentaires – c’est plus que probable… en plus d’être des développeurs de rançongiciels, ils sont également une équipe effectuant la post-exploitation établissant un point de compromis en un soufflage complet intrusion dans le réseau pour obtenir des dommages optimaux. Resecurity HUNTER (le groupe d’étude et de renseignement sur la recherche des risques) a publié des captures d’écran exclusives et des informations obtenues à la suite de l’analyse du réseau d’affiliation Nevada Ransomware. Une partie de cette étude de recherche est basée sur l’engagement de l’intelligence humaine (HUMINT) avec les stars responsables de l’accueil et de la vérification des nouveaux affiliés.
Un scientifique a découvert des ressemblances spécifiques avec Petya Ransomware – en particulier Nevada Ransomware exploite également l’algorithme de cryptage de fichiers Salsa20 ainsi qu’une structure similaire du casier. Selon les professionnels, à l’instar des premières variantes de Petya Ransomware, le code présente des « défauts » permettant de décrypter certains fichiers cryptés. Les chercheurs ont partagé leurs découvertes et décrit une idée possible qui pourrait être utilisée pour le décryptage.
Resecurity avait la possibilité d’accéder au panneau d’affiliation Nevada Ransomware hébergé sur le réseau TOR. Dans le rapport, nous pouvons voir les fonctions internes du ransomware, la zone de travail des mauvaises étoiles fournit une vaste sélection d’options, par exemple, la communication avec la victime, les statistiques, le solde de la rançon et bien plus encore.
Resecurity a obtenu des variantes Linux et Windows du Nevada Ransomware, puis a publié un rapport d’ingénierie inverse et des signes de compromission (IOC). Les professionnels anticipent une progression active du groupe en 2023– par des victimes et par de nouveaux affiliés qui s’engageront à la tâche.
Toute l’actualité en temps réel, est sur L’Entrepreneur
