02/02/2023
El nuevo Nevada Ransomware apunta a los sistemas Windows y VMware ESXi
Protelia-Nevada-Ransomware
Una operación de ransomware relativamente nueva conocida como Nevada parece aumentar sus capacidades rápidamente a medida que los investigadores de seguridad notaron una funcionalidad mejorada para el locker que apunta a los sistemas Windows y VMware ESXi.
El ransomware Nevada comenzó a promocionarse en los foros de red oscura de RAMP el 10 de diciembre de 2022, invitando a los ciberdelincuentes de habla rusa y china a unirse para obtener un recorte del 85 % de los rescates pagados.
Para aquellos afiliados que traen muchas víctimas, Nevada dice que aumentarán su participación en los ingresos al 90%.
Promoción de ransomware de Nevada en RAMP
Se informó anteriormente que RAMP es un espacio donde los piratas informáticos rusos y chinos promueven sus operaciones de ciberdelincuencia o para comunicarse con sus pares.
Nevada ransomware presenta un locker basado en Rust, un portal de chat de negociación en tiempo real, dominios separados en la red Tor para afiliados y víctimas.
Los investigadores de Resecurity analizaron el nuevo malware y publicaron un informe sobre sus hallazgos. Dicen que si bien el ransomware de Nevada es explícito sobre la exclusión de afiliados de habla inglesa, los operadores están abiertos a hacer negocios con corredores de acceso examinados desde cualquier lugar.
Orientación a hosts de Windows
La variante del ransomware Nevada que se enfoca en las máquinas con Windows se ejecuta a través de la consola y admite un conjunto de indicadores que brindan a sus operadores cierto control sobre el cifrado:
-archivo > cifrar el archivo seleccionado
-dir > cifrar el directorio seleccionado
-sd > auto eliminar después de todo hecho
-sc > eliminar instantáneas
-lhd > cargar unidades ocultas
-nd > buscar y cifrar recursos compartidos de red
-sm > cifrado en modo seguro
Una característica interesante del ransomware Nevada es el conjunto de configuraciones regionales del sistema que evita el proceso de encriptación. Por lo general, las pandillas de ransomware excluyen a las víctimas en Rusia y los países de la CEI (Comunidad de Estados Independientes). Con este malware, la lista se extiende a Albania, Hungría, Vietnam, Malasia, Tailandia, Turquía e Irán.
La carga utiliza MPR.dll para recopilar información sobre los recursos de la red, agregando directorios compartidos en la cola de cifrado. A cada unidad, incluidas las ocultas, se le asigna una letra y todos los archivos que contienen también se agregan a la cola.
Después de esta etapa, el cifrador se instala como un servicio y luego el sistema violado se reinicia en el modo seguro de Windows con una conexión de red activa.
El casillero utiliza el algoritmo Salsa20 para realizar un cifrado intermitente en archivos de más de 512 KB para un cifrado más rápido.
Los archivos ejecutables, DLL, LNK, SCR, URL y INI en las carpetas del sistema de Windows y los archivos de programa del usuario se excluyen del cifrado para evitar que el host de la víctima no pueda arrancar.
Archivos cifrados y nota ranson
A los archivos cifrados se les agrega la extensión de archivo «.NEVADA» y cada carpeta alberga una nota de rescate que les da a las víctimas cinco días para cumplir con las demandas del actor de amenazas, de lo contrario, sus datos robados se publicarían en el sitio web de fuga de datos de Nevada.
Nota de rescate
Orientación a sistemas VMware ESXi
La versión Linux/VMware ESXi del ransomware Nevada utiliza el mismo algoritmo de cifrado (Salsa20) que la variante de Windows. Se basa en una variable constante, un enfoque visto anteriormente en el ransomware Petya .
El cifrador de Linux sigue el mismo sistema de cifrado intermitente. encriptando completamente solo archivos de menos de 512 KB.
Probablemente debido a un error en la versión de Linux, el ransomware Nevada omitirá todos los archivos con un tamaño entre 512 KB y 1,25 MB, descubrió el investigador.
El casillero de Linux admite los siguientes argumentos:
-ayuda > ayuda
-daemon > creación y lanzamiento de un servicio ‘nevada’
-archivo > cifrar un archivo en particular
-dir > cifrar carpeta particular
-esxi > deshabilitar todas las máquinas virtuales
En los sistemas Linux, la clave pública se almacena al final del archivo cifrado en forma de 38 bytes adicionales.
Las similitudes compartidas con el ransomware Petya se extienden a los errores de implementación del cifrado que también podrían hacer posible recuperar la clave privada, lo que permitiría recuperar los datos sin pagar el rescate.»Para recuperar los datos cifrados por Nevada Ransomware, necesitamos saber la clave privada «B» y la clave pública «A», que se agregan al final del archivo, nonce para Salsa20 y el tamaño del archivo y algoritmo se utiliza para seleccionar ‘franjas’ para cifrar (que potencialmente se pueden medir o adivinar)».
Nevada ransomware todavía está construyendo su red de afiliados y corredores de acceso inicial, en busca de piratas informáticos hábiles.
Resecurity observó que los operadores de ransomware de Nevada compraban el acceso a los puntos finales comprometidos y contrataban a un equipo de posexplotación dedicado para realizar la intrusión.
Los investigadores señalan que esta amenaza parece continuar su crecimiento y debe ser monitoreada de cerca.
https://www.protelia.com/archivos/1022
