GandCrab adalah salah satu keluarga ransomware paling populer pada tahun 2018 dan 2019. Ransomware mengenkripsi semua file di komputer target dan meminta imbalan Bitcoin atau Dash sebanyak $ 2.000 untuk kunci dekripsi. Para penulis di balik malware GandCrab mengumumkan pada bulan Juni bahwa mereka membatalkan operasi malware karena mereka telah menghasilkan cukup uang darinya. Menurut penulis, mereka mendapat $2 miliar dari pembayaran ransomware.

Kini, para peneliti keamanan di Secureworks Counter Threat Unit telah melihat ransomware baru yang berbagi kode yang sama dengan GandCrab dan dipandang sebagai versi berevolusi dari Gandcrab.

REvil, yang juga dikenal sebagai Sodinokibi, telah dikaitkan dengan malware GandCrab.

Berbicara kepada ZDNet, seorang peneliti keamanan mengatakan, ” Itu pasti berbagi beberapa kode yang tumpang tindih dengan GandCrab dan bahkan ada artefak di sana yang menunjukkan dimaksudkan untuk menjadi evolusi dari GandCrab dan mereka memutuskan bahwa GandCrab siap untuk reband dan diluncurkan kembali . ”

Mengapa para peneliti mengaitkan Evil ke GandCrab?

Para peneliti menemukan alasan berikut mengapa mereka percaya bahwa GandCrab muncul kembali dalam bentuk REvil:

• Fungsi decoding string REvil dan GandCrab memiliki kesamaan.
• Kedua ransomware juga berbagi fungsionalitas pengikatan URL yang menghasilkan patters URL yang serupa untuk server dan perintah kontrol
• Istilah seperti ‘gcfin’ dan ‘gc6’ dalam kode REvil menunjukkan hubungan antara GandCrab dan REvil. Para peneliti percaya bahwa ‘gcfin’ adalah singkatan dari ‘GandCrab Final’ dan ‘gc6’ menunjukkan GandCrab 6.
• Baik REvil dan GandCrab telah memasukkan daftar layout keyboard tertentu sebagai ukuran untuk tidak menginfeksi host yang berbasis di Rusia.

Terlepas dari kesamaan dalam kode, ada beberapa perbedaan juga yang menunjukkan bahwa Evil bisa menjadi karya jahat lain yang mungkin mencoba meniru GandCrab.

Sementara para operator GandCrab sering menampilkan hubungan bersahabat dengan para peneliti keamanan dengan sering menyebut nama-nama para peneliti dalam domain komando dan kontrol mereka, para aktor di balik REvil memiliki pendekatan bisnis yang ketat.

REvil mungkin sedang dalam perjalanan menjadi ransomware profil paling tinggi. Kami menyarankan agar pengguna terus memperbarui sistem saat dan ketika update tiba guna melindungi diri terhadap serangan cyber.