Especialistas en ciberseguridad reportan la detección de una nueva variante de ransomware que podría estar estrechamente relacionada con REvil. Acorde a los investigadores de Secureworks Counter Threat Unit (CTU), el ransomware LV es prácticamente una copia idéntica del popular malware, cambiando solo una configuración de la versión beta de REvil v2.03 con el mismo binario en lo que parece un trabajo de ingeniería inversa.
“La estructura del código y las funcionalidades de las muestras recolectadas de LV son idénticas a REvil. El valor de la versión en el binario LV es 2.02, su marca de tiempo de compilación es 2020-06-15 16:24:05, y su configuración se almacena en una sección llamada ‘.7tdlvx’. Todas estas características se ajustan a las muestras de REvil 2.02”, menciona el reporte de seguridad
Aunque es posible que esto se trate simplemente del robo del código fuente de Reddit, los investigadores creen que algunos detalles del caso descartan esta hipótesis: “Algunas muestras del código fuente de REvil incluyen insultos contra algunos miembros de la comunidad de la ciberseguridad. Estos mensajes fueron completamente eliminados del código de LV ransomware”, mencionan los expertos.
Esta diferencia entre ambas variantes señala que los desarrolladores de LV no cuentan con acceso completo al código fuente de REvil. Los desarrolladores de LV podrían haber usado un editor hexadecimal para eliminar algunos rasgos característicos del binario original para evitar que se detectara que copiaron el código.
Los operadores de LV también parecen estar imitando el modo de operación de REvil, ya que ambos grupos de hacking recurren a pasos como el análisis del sistema objetivo, el robo de información durante el ataque y la filtración de algunos detalles en dark web a manera de extorsión, aunque en el proceso pueden apreciarse más diferencias.
REvil es una de las operaciones de ransomware más prolíficas en la actualidad, generando millones de dólares en ganancias a través de ataques de alto perfil contra organizaciones gubernamentales, firmas tecnológicas y servicios críticos. Uno de los ataques más devastadores de 2021 impactó en las redes de JBS, el mayor productor de carne del mundo, generando millones de dólares en pérdidas e incluso el incremento en los precios de la carne.
Aún no se ha confirmado si este es un grupo afiliado o simplemente imitadores. No obstante, dado el nivel de ganancias de REvil, los expertos creen que no sería extraño que algún grupo de hackers no identificados esté tratando de usar este malware para su propio beneficio.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
