Дослідники виявили технічні зв’язки між GandCrab та іншою формою подібного програмного забезпечення – REvil – які дозволяють припустити, що обидві форми зловмисних програм мають одних і тих же авторів. REvil – також відомий як Sodinokibi – вперше з’явився незадовго до того, як GandCrab припинив свою діяльність. Нова програма стала одним з найвідоміших вимагачів 2019 року.
GandCrab була однією з найуспішніших родин вірусів-вимагачів протягом 2018 та 2019 років, її автори пропонували цю програму як послугу “блокування-розблокування в обмін на гроші”. У червні вони раптово оголосили, що припиняють діяльність, заявляючи, що заробили понад 2 мільярди доларів з моменту появи GandCrab в січні 2018 року, пише ZDNet.
Зараз дослідники безпеки в підрозділі протидії загрозам з компанії Secureworks детально розповіли про те, що вони вважають аргументами, які свідчать про те, що розробники GandCrab – яких вони називають GoldenGarden – також несуть відповідальність за REvil, який міг почати життя як нова версія GandCrab.
“Це, безумовно, можна довести завдяки деяким перекриттям коду з GandCrab, і там є навіть артефакти, які говорять про те, що він мав бути еволюцією GandCrab, і ми вирішили, що GandCrab, можливо. дозрів для відновлення та перезапуску”, – сказав Рафі Пілінг, дослідник інформаційної безпеки в Secureworks.
Аналіз REvil виявив, що функції декодування рядків, використовувані REvil та GandCrab, майже ідентичні, що дозволяє припустити міцний зв’язок між двома формами викупного програмного забезпечення. REvil та GandCrab також поділяють функціонал побудови URL-адрес, який створює однакові шаблони URL-адрес для серверів команд та управління.
“Коли ми бачимо подібні речі, це говорить про те, що розробники явно ділилися кодом “, – сказав Піллінг.
Існує також доказ того, що код REvil спочатку був призначений для нової версії викупного програмного забезпечення GandCrab, оскільки аналіз бета-версії REvil виявляє, що в коді є рядки, які, схоже, посилаються на GandCrab. До них відносяться “gcfin”, який, як вважають дослідники, означає “Фінал GandCrab”, і “gc6”, який, як вважають, означає GandCrab 6.
Оскільки ті, хто стоїть за GandCrab, який прославився за допомогою такої вдалої операції, заперечують подальшу діяльність, цілком ймовірно, що ці посилання на їхню оригінальну програму викупу є помилкою з їхнього боку – але це дозволило дослідникам безпосередньо пов’язати REvil з тією ж групою.
На додаток до подібності коду, і REvil, і GandCrab містять у списку певні розкладки клавіатури, щоб не заразити машини, що використовують російську мову. Хоча це безпосередньо не пов’язує два центри управління операціями, але це дозволяє припустити, що вони базуються в одному регіоні.
Коли група Gold Garden вимкнула GandCrab, він все ще проводив успішну операцію, і тільки нещодавно було випущено нову версію програмного забезпечення для протидії вільному інструменту розшифровки. Однак можливо, що зловмисники створили REvil для оновлення своїх операцій, прагнучи бути на крок попереду працівників правоохоронних органів та служб безпеки.
REvil вже став однією з найпопулярніших форм вірусів-вимагачів, і дослідники попереджають, що він повинен замінити GandCrab як поширену загрозу викупного програмного забезпечення.
Для обмеження збитків від цієї атаки, рекомендується регулярно створювати резервні копії своїх даних та періодично оновлювати системи для захисту від кібератак, які поширюються завдяки використанню старих уразливостей.
Нагадаємо, Google Play видалив два шкідливих додатки, які користувачі встигли завантажити їх як мінімум 1,5 мільйона разів. В описі популярних додатків Sun Pro Beauty Camera і Funny Sweet Beauty йдеться, що вони призначені для обробки фотографій. Однак виявилося, що у них є “незадекларовані” можливості. Додатки чомусь просять дозвіл на запис аудіо, і, що набагато гірше, на весь екран розгортають рекламу.
Також протягом останніх років Facebook працювала над розробкою окулярів доповненої реальності у своїх лабораторіях Facebook Reality в Редмонді, штат Вашингтон. Однак труднощі, які виникли під час розвитку проекту, змусили компанію шукати допомоги від фірм-виробників.
Окрім цього, Apple щойно випустила iOS 13, яка вже доступна для завантаження онлайн для користувачів iPhone. Якщо Вам не вдалося встановити довгоочікуване оновлення iOS з певних причини, дізнайтесь, як це виправити.
За словами дослідника з безпеки, відомого під псевдонімом @iBSparkes, йому вдалося зламати новеньку модель iPhone на базі процесора A13.
18-річний мешканець Івано-Франківської області поширював шкідливе програмне забезпечення для віддаленого керування ураженим комп’ютером. Відтак він отримував повний доступ до комп’ютера, включаючи конфіденційну інформацію користувача, логіни та паролі до усіх його облікових записів, а також онлайн-банкінгу.
