Resecurity, 2023’ün başlamasından hemen önce Dark Web’de ortaya çıkan Nevada Ransomware’in yeni bir sürümünü belirledi. Bu yeni projenin arkasındaki aktörler, ilk olarak ilk erişim aracıları (IAB’ler) ile tanınan RAMP yeraltı topluluğunda tanıtılan bir ortaklık platformuna sahipler. ) ve diğer siber suç aktörleri ve fidye yazılımı grupları.
1 Şubat 2023 civarında – grup, Windows, Linux ve ESXi’yi destekleyen bağlı kuruluşları için Rust’ta yazılmış güncellenmiş bir dolap dağıttı – bu programlama dili, bugünlerde fidye yazılımı geliştiricileri için bir trend haline geldi (Blackcat, RansomExx2, Hive, Luna, Agenda). Bu güncellemeler, o zamandan beri, bağlı kuruluş panelini iyileştirmek için gelişmiş işlevsellik ve önemli ince ayarlar sağladı. 20 Ocak civarında bir başka önemli güncelleme daha belirlendi ve bu, projenin aktif olarak nasıl geliştiğini doğrulayabilir. Nevada Fidye Yazılımı çok cazip ve rekabetçi koşullar sunuyor – %85 (ortak için) ve daha fazla ilerleme varsayıldığında %90’a kadar artış. 10 Aralık 2022’de aktör ‘nebel’ Dark Web’de yeni projeyi anlatan bir gönderi yayınladı ve ardından yeni üyeler davet etmeye başladı.
Özellikle, aktörler ayrıca daha fazla geliştirme için güvenliği ihlal edilmiş erişim elde ediyor – bu büyük olasılıkla… fidye yazılımı geliştiricileri olmanın yanı sıra, aynı zamanda maksimum hasar elde etmek için istismar sonrası tam gelişmiş ağ saldırılarına yönelik uzlaşma noktaları geliştiren bir ekip. Resecurity HUNTER (tehdit araştırma ve istihbarat ekibi), Nevada Ransomware bağlı ağ analizinin doğrudan bir sonucu olarak elde edilen özel ekran görüntüleri ve ayrıntılar yayınladı. Bu araştırmanın bir kısmı, İnsan Zekasının (HUMINT) yeni üyeleri davet etmekten ve incelemekten sorumlu aktörlerle olan ilişkisine dayanmaktadır.
Araştırmacılar, Petya Ransomware ile bazı benzerlikler buldular – özellikle Nevada Ransomware, Salsa20 şifreleme algoritmasını ve dolabın benzer yapısını kullanıyor. Uzmanlara göre, Petya Ransomware’in ilk sürümlerine benzer şekilde, kodda bazı şifrelenmiş dosyaların şifresinin çözülmesine izin veren bazı ‘kusurlar’ var. Araştırmacılar bulgularını paylaştılar ve şifre çözme için kullanılabilecek olası bir kavramı açıkladılar.
Resecurity, TOR ağında barındırılan Nevada Ransomware ortaklık paneline erişim sağlamayı başardı. Raporda, fidye yazılımının iç işleyişini görebiliriz, kötü aktörlerin çalışma alanı, kurbanla iletişim, istatistikler, fidye dengesi ve çok daha fazlası gibi çok sayıda seçenek sunar.
Resecurity, Nevada Ransomware’in Linux tabanlı ve Windows sürümlerini satın aldı ve ardından bir tersine mühendislik raporu ve uzlaşma göstergeleri (IOC’ler) yayınladı. Uzmanlar, grubun 2023’te mağdurlar ve projeye katılacak yeni üyeler tarafından aktif bir şekilde gelişmesini bekliyor.