En junio pasado, tendencia micro había descubierto Ese ransomware basado en Linux Cheerscrypt atacó los entornos ESXI en VMware. Desafortunadamente, la historia parece repetida, con otro equipo de investigadores de resolución que identificaron una nueva raza de Ransomiciel bautizó a Nevada. En la maniobra, hay actores maliciosos que utilizan una plataforma de afiliación introducida por primera vez en una comunidad de rampa de Darknet, conocida en particular por sus corredores de acceso iniciales (IAB). Este último ofrece capacidades de intrusión en redes.

"El 1 de febrero de 2023, los operadores detrás del proyecto actualizadas y mejoradas de criptomonedas mejoradas para Windows y Linux/ESXI, y distribuyeron nuevas versiones para sus afiliados que fueron analizados por nuestro equipo de Watch en malware", explica la reactivación. En una publicación de blog. La investigación que se realizó muestra que un actor de la amenaza, Nebel, propuso en diciembre pasado a los ciberdelincuentes rusos y chinos para unirse para distribuir el ransomware de Nevada en condiciones muy atractivas y competitivas con un intercambio de ingresos que puede ascender por ellos al 90 %. Como esperábamos, desafortunadamente el éxito estaba allí.

Una ciberrena para tomarse en serio

La variante del Nevada Ransomiciel que se centra en las máquinas de Windows admite un conjunto de indicadores que brindan a sus operadores un cierto control sobre el cifrado basado en el cifrado Salsa20: -File> el archivo seleccionado; -Dir> Cantal el directorio seleccionado; -Sd> auto-supremo después de todo lo que se ha hecho; -Sc> eliminar las tomas instantáneas; -Lhd> cargar lectores ocultos; -Nd> buscar y cuantificar las acciones de la red; -Sm> Cifrado en modo seguro. “El Quantleman se puede instalar como un servicio cuando se ejecuta con el argumento -sm. Después de eso, la computadora se reiniciará, luego Windows comenzará en modo seguro con una conexión de red ”, especifica la reseña. Con respecto a la variante Linux de Nevada, escrita en Rust, es similar a la de Windows con una variable constante expandir 32-Alit K que se encuentra en la famosa Petya Ransa. El Linux Quantleur solo cifra solo los archivos de menos de 512 KB. Probablemente debido a un error en la versión de Linux, el rescate de Nevada ignorará todos los archivos cuyo tamaño es entre 512 kb y 1.25 MB explica la reseña.

La amenaza de Nevada se tomará muy en serio. El Cybergang, que originalmente, tiene, por ejemplo, tiene un equipo dedicado a la explotación posterior, así como a las intrusiones de la red en objetivos estratégicos. La resecurity espera un pico en el crecimiento activo vinculado al ransomware de Nevada en 2023, tanto en términos del número de víctimas como afiliadas que colaboran con el grupo. El proyecto está bien presentado en el foro de rampas subterráneas y ya ha despertado el interés de los cibercriminales creíbles que podrían alcanzarlos después del cierre de otras grandes redes de rescate.