Релативно нова ransomware операција, позната како Nevada, брзо ги зголемува своите способности бидејќи безбедносните истражувачи забележаа подобрена функционалност што ги таргетира Windows и VMware ESXi системите.
Nevada ransomware започна да се промовира на RAMP darknet форумите на 10 декември 2022 година, поканувајќи ги сајбер-криминалците што зборуваат руски и кинески да му се придружат за 85% намалување од платениот откуп.
RAMP претходно беше пријавен како простор каде руски и кинески хакери ги промовираат своите операции за сајбер криминал или за да комуницираат со врсниците.
Варијантата на Nevada ransomware која се фокусира на Windows машините се извршува преку конзола и поддржува збир на знамиња кои им овозможуваат на хакерите одредена контрола над шифрирањето:
-file > шифрирајте ја избраната датотека
-dir > шифрирајте го избраниот директориум
-sd > самоизбриши по сè што е направено
-sc > избришете копии во сенка
-lhd > вчитај скриени дискови
-nd > најдете и шифрирајте мрежни акции
-sm > шифрирање на безбеден режим
Една интересна карактеристика на Nevada ransomware е множеството системски локали што ги штеди од процесот на шифрирање. Вообичаено, хакерите ги исклучуваат жртвите во Русија и земјите од CIS (Commonwealth of Independent States). Со овој малициозен софтвер, листата се протега до Албанија, Унгарија, Виетнам, Малезија, Тајланд, Турција и Иран.
Payloads користи MPR.dll за собирање информации за мрежните ресурси, додавајќи споделени директориуми во редот за шифрирање. На секој диск, вклучувајќи ги и скриените, му е доделена буква, а сите датотеки во нив се додаваат и во редот.
По оваа фаза, енкрипторот се инсталира како услуга, а потоа инфицираниот систем се рестартира во Windows безбеден режим со активна мрежна врска.
На шифрираните датотеки им се додава наставката „.NEVADA“ и секоја папка содржи белешка за откуп што им дава на жртвите пет дена да ги исполнат барањата на хакерите, во спротивно нивните украдени податоци ќе бидат објавени на веб-страницата на Nevada за протекување податоци.
Верзијата на Linux/VMware ESXi на Nevada ransomware го користи истиот алгоритам за шифрирање (Salsa20) како и Windows варијантата. Се потпира на константна променлива, пристап претходно забележан во Petya ransomware.
Linux енкрипторот го следи истиот систем за интермитентно шифрирање. целосно шифрирање само датотеки помали од 512 KB.
Најверојатно поради грешка во Linux верзијата, Nevada ransomware ќе ги прескокне сите датотеки со големина помеѓу 512 KB и 1,25 MB, изјави истражувачот.
На Linux системите, јавниот клуч се чува на крајот од шифрираната датотека во форма на дополнителни 38 бајти.
Resecurity изјави дека сличностите споделени со Petya ransomware се прошируваат на грешки во имплементацијата на шифрирањето што би можело да овозможат враќање на приватниот клуч, што би овозможило враќање на податоците без плаќање на откуп.
Nevada ransomware сè уште ја гради својата мрежа на брокери за првичен пристап, барајќи вешти хакери.
Resecurity забележалe дека Nevada ransomware хакерите купуваат пристап до компромитирани крајни точки и ангажирале посветен тим по експлоатација за да го изведат упадот.
Истражувачите забележуваат дека оваа закана продолжува да расте и треба внимателно да се следи.
Извор: BleepingComputer