Новый шифровальщик Nevada обзавелся новой функциональностью, которая обеспечивает ему повышенный успех при атаках на системы под управлением Windows и, что важнее, VMware ESXi.
Nevada впервые была замечена на хакерском форуме RAMP 10 декабря 2022 г.. Шифровальщик предлагался главным образом русско- и китаеязычным хакерам на условиях дохода в 85% от каждого выплаченного выкупа (15% операторы Nevada взимали в качестве комиссии). Наиболее успешным партнерам комиссию обещали снизить до 10%.
Компоненты Nevada включают, собственно, шифровальный модуль, написанный на языке Rust, чат-портал для переговоров о выкупе, а также раздельные домены в Tor для операторов-партнеров и жертв атак.
При заражении в систему сперва сгружается файл MPR.dll, который осуществляет сбор информации о ресурсах целевой сети и заносит в очередь на шифрование все ресурсы с общим доступом. Туда же зачисляются все файлы на логических дисках за вычетом критических системных файлов в каталогах Windows и Program Files.
Затем шифровальщик устанавливается как служба Windows, скомпрометированная система перезагружается в безопасном режиме (с активным сетевым соединением), и начинается шифрование с использованием алгоритма Salsa20. Для всех файлов крупнее 512 кбайт используется частичное шифрование, что заметно ускоряет процесс. Правда, Linux-версия содержит ошибку, из-за которой шифровальщик игнорирует любые файлы размером от 512 кбайт до 1,25 мегабайта.
Шифровальщик также выводит копии шифруемых данных на внешние ресурсы, контролируемые злоумышленниками.
Всем зашифрованным файлам присваивается расширение .NEVADA. Жертв уведомляют о том, что у них всего пять дней на выплату выкупа, в противном случае злоумышленники обещают выложить украденную информацию на своем сайте утечек.
Создатели сервиса заявили, что не собираются работать с англоязычными партнерами, но готовы к сотрудничеству с любыми брокерами, предлагающими доступ в корпоративные сети коммерческих компаний. Случаи покупки доступа уже известны.
Шифровальщики, предлагаемые на русскоязычных форумах в даркнете, обычно обходят стороной машины, на которых установлены русскоязычные локали операционных систем, и не атакуют жертв, проживающих на территории России и стран ближнего зарубежья.
Однако в списке «безопасных» локалей шифровальщика Nevada фигурируют также Албания, Венгрия, Вьетнам, Малайзия, Таиланд, Турция и Иран.