El equipo de investigación de Trend Micro analizó recientemente una infección relacionada con el grupo de LV Ransomware, una operación de Ransomware como Servicio (RaaS) que ha estado activa desde finales de 2020 y, se basa en REvil (también conocido como Sodinokibi).
La naturaleza exacta de la relación entre el ransomware LV y los grupos REvil no se puede establecer ni verificar definitivamente: los desarrolladores del ransomware LV no parecen haber tenido acceso al código fuente de Revil, y probablemente modificaron el script binario REvil en su lugar. Según investigaciones anteriores, se dice que el grupo que opera REvil vendió el código fuente, se lo robaron o compartió el código con el grupo de ransomware LV como parte de una asociación.
Los investigadores de Secureworks (CTU) investigaron los informes de que el ransomware LV tenía la misma estructura de código que REvil. Esta superposición podría indicar que el grupo de amenazas GOLD SOUTHFIELD que opera REvil vendió el código fuente, que el código fuente fue robado o que GOLD SOUTHFIELD compartió el código con otro grupo de amenazas como parte de una asociación. El análisis de CTU confirmó que el grupo de amenazas GOLD NORTHFIELD, que opera LV, reemplazó la configuración de una versión beta de REvil v2.03 para reutilizar el binario REvil para el ransomware LV.
Este ransomware ha estado resurgiendo desde el segundo trimestre de 2022, y la investigación revela un aumento en la cantidad de ataques realizados por el grupo delictivo. Además, una alerta emitida por la Oficina Federal Alemana para la Seguridad de la Información en agosto de 2022 revela que los operadores del ransomware estaban chantajeando a la empresa de semiconductores Semikron al amenazar con filtrar los datos robados.
Recientemente el grupo realizó una intrusión que involucró el compromiso del entorno corporativo de una empresa con sede en Jordania. En este incidente, los atacantes utilizaron la técnica de la doble extorsión para chantajear a sus víctimas, amenazando con liberar los datos supuestamente robados además de cifrar los archivos de la víctima.
En diciembre de 2021, una publicación en un foro de delincuentes, un actor malicioso afirmaba operar el ransomware LV y buscaba acceso a las redes. El actor malicioso expresó interés en obtener acceso a la red de entidades canadienses, europeas y estadounidenses y luego monetizarlas mediante la implementación del ransomware.
Las infracciones de ransomware LV informadas han aumentado desde el segundo trimestre de 2022, lo que se alinea con los esfuerzos del actor malicioso para expandir su programa de afiliados.
Cadena de infección observada
Se ha observado que este malware utiliza vulnerabilidades como ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE-2021-27065) para lograr el compromiso inicial.
Luego, el atacante ejecuta un código de PowerShell malicioso persistente que se usa para descargar y ejecutar otro archivo de puerta trasera de PowerShell en el servidor.