Adversary

Pinchy Spider

Ursprung

Osteuropa, Russische Föderation

Community Identifiers

GandCrab, REvil, Sodinokibi, GOLD GARDEN, GOLD SOUTHFIELD

Pinchy Spider ist eine kriminelle Organisation, die hinter der Entwicklung und dem Betrieb der Ransomware REvil (auch bekannt als Sodinokibi) steht, die seit Anfang April 2019 im Umlauf ist.

Pinchy Spider verkauft den Zugriff auf ihre Ransomware im Rahmen eines Partnerschaftsprogramms mit einer begrenzten Anzahl von Konten, die häufig als Ransomware-as-a-Service (RaaS) bezeichnet werden. Die Hackergruppe war zu Beginn als Entwickler der Ransomware GandCrab bekannt, die zwischen Januar 2018 und Ende Mai 2019 aktiv war.

REvil
Teile von REvil wurden erstmals Anfang April 2019 bemerkt, während GandCrab aktiv war. Die Analyse durch CrowdStrike Intelligence ergab mehrere Überschneidungen im Code sowie in Taktiken, Techniken und Prozeduren (TTPs), die auf eine Verbindung zwischen den Ransomwares GandCrab und REvil schlussfolgern ließen, einschließlich RC4-Zeichenfolgenentschlüsselung, Informationserfassung, Befehl-und Kontroll-Techniken (C2) und Dateiverschlüsselung. CrowdStrike Intelligence hält Pinchy Spider für den Betreiber von Revil. Pinchy Spider besteht aus einigen Personen, die das mittlerweile nicht mehr verwendete GandCrab betrieben haben, sowie aus einigen neuen Leuten aus einem ehemaligen GandCrab-Partnernetzwerk.

GandCrab
GandCrab wurde erstmals Ende Januar 2018 veröffentlicht und ist eine der ersten bekannten Ransomware-Familien, die die DASH-Kryptowährung akzeptierte und die Kryptowährung Namecoin TLD .bit verwendete. Die Software fungiert als alternatives, dezentrales Domainnamensystem.

Am 31. Mai 2019 gab Pinchy Spider in einem Forumsbeitrag bekannt, dass sie sich aus dem Betrieb zurückziehen und das GandCrab-Partnerschaftsprogramm eingestellt wird. Die Hackergruppe forderte keine weiteren Verteilungskampagnen und gab den Mitgliedern des Partnerprogramms 28 Tage Zeit, um verbleibende Infektionen zu Geld zu machen.

TECHNISCHE MERKMALE

  • Verwendung von RC4 zur String-Entschlüsselung
  • Erkennung des Tastaturlayouts, um den Standort zu erfassen
  • Auflistung und Beendigung von Prozessen, die mit Ransomware-Zieldateien verbunden sind
  • Prüfung des Domainnamens auf die RU TLD, um die Verschlüsselung russischer Unternehmen zu vermeiden

Targeted Nations

  • Flag Icon of the country Argentinien

    Argentinien

  • Flag Icon of the country Australien

    Australien

  • Flag Icon of the country Belgien

    Belgien

  • Flag Icon of the country Brasilien

    Brasilien

  • Flag Icon of the country Kanada

    Kanada

  • Flag Icon of the country Chile

    Chile

  • Flag Icon of the country China

    China

  • Flag Icon of the country Europa

    Europa

  • Flag Icon of the country Frankreich

    Frankreich

  • Flag Icon of the country Deutschland

    Deutschland

  • Flag Icon of the country Hongkong

    Hongkong

  • Flag Icon of the country Indonesien

    Indonesien

  • Flag Icon of the country Italien

    Italien

  • Flag Icon of the country Jamaika

    Jamaika

  • Flag Icon of the country Japan

    Japan

  • Flag Icon of the country Luxemburg

    Luxemburg

  • Flag Icon of the country Mexiko

    Mexiko

  • Flag Icon of the country Norwegen

    Norwegen

  • Flag Icon of the country Singapur

    Singapur

  • Flag Icon of the country Slowenien

    Slowenien

  • Flag Icon of the country Südafrika

    Südafrika

  • Flag Icon of the country Südkorea

    Südkorea

  • Flag Icon of the country Spanien

    Spanien

  • Flag Icon of the country Schweden

    Schweden

  • Flag Icon of the country Schweiz

    Schweiz

  • Flag Icon of the country Trinidad und Tobago

    Trinidad und Tobago

  • Flag Icon of the country Vereinigte Arabische Emirate

    Vereinigte Arabische Emirate

  • Flag Icon of the country Vereinigtes Königreich

    Vereinigtes Königreich

  • Flag Icon of the country Vereinigte Staaten

    Vereinigte Staaten

Artwork

Gegner: Pinchy Spider - Hackergruppe

Crowdstrike Pinchy Spider

I have read and accept the terms and conditions

Download
Nächste Gruppe aufrufen

Terms and conditions

In order to download the adversary artwork, we kindly request you to accept our terms and conditions displayed below.

This image (“artwork”), is the intellectual property of CrowdStrike, Inc. and its affiliates and licensors (collectively, “us” or “we”) and may include other marks, trademarks, copyrighted materials, and other intellectual property (“assets”) that belong t o us, including, without limitation, CrowdStrike, the CrowdStrike logo, and CrowdStrike Falcon. We retain all right, title and interest in and to the artwork and all assets included therein. This artwork is offered to you as a convenience for your lawful a nd non-commercial use, solely as authorized by us, and subject to your compliance with these terms and conditions (“terms”) and any other guidelines or specifications that we may provide from time to time. We reserve the right to change these terms at any time without prior notice.

You should periodically check the latest information posted herein to be sure that you are in compliance. By downloading the artwork, you attest that you are at least 18 years of age and agree to the following terms, which const itute the sole and entire agreement between you and us with respect to the artwork. We reserve all rights not expressly granted to you herein. You may not use or display the artwork in any way: (i) that violates the rights of any person or entity or that may give rise to civil or criminal liability under laws or regulations applicable to you, another user, and/or CrowdStrike; (ii) that is defamatory, obscene, indecent, abusive, harassing, violent, hateful, inflammatory or otherwise objectionable; (iii) tha t is false, deceptive, misleading or fraudulent, including but not limited to: (a) any attempt to impersonate any person or entity, including any other user, CrowdStrike or a CrowdStrike employee; (b) any attempt to misrepresent your identity or affiliation with any person or organization; or (iv) for the purposes of recruiting, advertising, solicitation or commercial activities of any kind without our express written consent.

THE ARTWORK IS PROVIDED TO YOU BY CROWDSTRIKE ON AN “AS IS” AND “AS AVAILABLE” BA SIS, WITHOUT ANY WARRANTIES OF ANY KIND, EITHER EXPRESS OR IMPLIED. EXCEPT TO THE EXTENT THAT A DISCLAIMER OF LIABILITY IS PROHIBITED UNDER APPLICABLE LAW, IN NO EVENT WILL CROWDSTRIKE, ITS AFFILIATES AND ITS LICENSORS, EMPLOYEES, AGENTS, OFFICERS AND DIRE CTORS BE LIABLE FOR DAMAGES OF ANY KIND, UNDER ANY LEGAL THEORY, ARISING OUT OF OR IN CONNECTION WITH YOUR USE, OR INABILITY TO USE, THE ARTWORK.