Secureworks: GandCrab-ontwikkelaars zijn verantwoordelijk voor REvil ransomware

De ontwikkelaars van GandCrab kondigden op 31 mei 2019 aan dat ze met pensioen gingen. Onderzoekers van de Secureworks Counter Threat Unit (CTU) trekken dit echter in twijfel en vermoeden dat sommige of zelfs alle ontwikkelaars van GandCrab hun activiteiten hebben verlegd naar andere varianten van de ransomware: REvil of GOLD SOUTHFIELD.

De malware-ontwikkelaar hebben sinds januari 2018 meer dan 2 miljard dollar verdiend met GandCrab, dat door Secureworks als een 'zeer winstgevende ransomware-as-a-service' wordt omschreven. Uit de analyse van de CTU blijkt dat REvil in de maand voorafgaand aan het 'pensioen' van GOLD GARDEN zich snel heeft ontwikkeld tot een volwaardige ransomware-as-a-service. Een maand na de aangekondigde pensionering van GOLD GARDEN versnelde de uitbreiding van REvil wat leidde tot de eerste van een reeks spraakmakende infecties.

Secureworks CTU-onderzoekers melden dat het decoderen van de string en de URI Building-functies in REvil vrijwel identiek zijn aan de functies die in GandCrab zijn geïmplementeerd. De mate van overlap in de code suggereert dat GOLD SOUTHFIELD toegang heeft tot de broncode van GandCrab. Dit wordt verder ondersteund door het feit dat GOLD GARDEN en GOLD SOUTHFIELD uit dezelfde regio afkomstig lijken. Secureworks baseert zich hierbij op de anti-infectiecontroles die zowel in REvil als GandCrab zijn geïmplementeerd.

Meer informatie is beschikbaar in een blogpost die Secureworks heeft gepubliceerd.