Nevada впервые была замечена на хакерском форуме RAMP 10 декабря 2022 г.. Шифровальщик предлагался главным образом русско- и китаеязычным хакерам на условиях дохода в 85% от каждого выплаченного выкупа (15% операторы Nevada взимали в качестве комиссии). Наиболее успешным партнерам комиссию обещали снизить до 10%.
Компоненты Nevada включают, собственно, шифровальный модуль, написанный на языке Rust, чат-портал для переговоров о выкупе, а также раздельные домены в Tor для операторов-партнеров и жертв атак.
При заражении в систему сперва сгружается файл MPR.dll, который осуществляет сбор информации о ресурсах целевой сети и заносит в очередь на шифрование все ресурсы с общим доступом. Туда же зачисляются все файлы на логических дисках за вычетом критических системных файлов в каталогах Windows и Program Files.
Затем шифровальщик устанавливается как служба Windows, скомпрометированная система перезагружается в безопасном режиме (с активным сетевым соединением), и начинается шифрование с использованием алгоритма Salsa20. Для всех файлов крупнее 512 кбайт используется частичное шифрование, что заметно ускоряет процесс. Правда, Linux-версия содержит ошибку, из-за которой шифровальщик игнорирует любые файлы размером от 512 кбайт до 1,25 мегабайта.
Наследник Petya
Эксперты фирмы Resecurity, проанализировавшие вредонос, отметили, что и вариант под Windows, и версия под Linux и VMware ESXi используют один и тот же алгоритм с постоянной переменной. Тот же принцип использовал ранее шифровальщик Petya. Интересно, что в реализации шифрования в Nevada и Petya фигурируют одни и те же ошибки, что в теории позволяет восстановить доступ к зашифрованным файлам без выплаты какого-либо выкупа.
«Создатели шифровальщиков с удовольствием используют чужой код, продемонстрировавший высокую степень эффективности, так что ничего удивительного, если авторы Nevada действительно позаимствовали что-то из кода Petya, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Указанные уязвимости вполне могут оказаться исправленными в ближайшее время, если от них будет зависеть прибыльность всего предприятия».
Всем зашифрованным файлам присваивается расширение .NEVADA. Жертв уведомляют о том, что у них всего пять дней на выплату выкупа, в противном случае злоумышленники обещают выложить украденную информацию на своем сайте утечек.
Создатели сервиса заявили, что не собираются работать с англоязычными партнерами, но готовы к сотрудничеству с любыми брокерами, предлагающими доступ в корпоративные сети коммерческих компаний. Случаи покупки доступа уже известны.
Шифровальщики, предлагаемые на русскоязычных форумах в даркнете, обычно обходят стороной машины, на которых установлены русскоязычные локали операционных систем, и не атакуют жертв, проживающих на территории России и стран ближнего зарубежья.
Однако в списке «безопасных» локалей шифровальщика Nevada фигурируют также Албания, Венгрия, Вьетнам, Малайзия, Таиланд, Турция и Иран.