El grupo de ransomware REvil está funcionando nuevamente con una nueva infraestructura y un cifrador modificado después de haber sido supuestamente cerrado el año pasado.
En octubre de 2021, la notoria banda de ransomware se cerró después de que una operación policial secuestrara sus servidores Tor. A esto le siguió el arresto de varios de sus miembros clave por parte del FSB ruso.
Como la invasión de Rusia a Ucrania agrió las relaciones entre Rusia y Estados Unidos, el gobierno de Estados Unidos siguió adelante y cerró unilateralmente su canal de comunicación sobre seguridad cibernética con Moscú. Como resultado, Estados Unidos también se retiró del proceso de negociación sobre REvil.
Si bien parecía un poco allí que REvil había cerrado la tienda para siempre, la antigua infraestructura Tor del grupo recientemente comenzó a funcionar nuevamente. Sin embargo, en lugar de mostrar sitios web antiguos, sus servidores Tor redirigen a los visitantes a URL para una nueva operación de ransomware sin nombre, según un informe de BleepingComputer.
Un nuevo encriptador REvil
Los sitios web se redireccionan todo el tiempo, es por eso que encontrar una muestra nueva del cifrador de ransomware de REvil y analizarlo es la única forma de saber si el grupo de ciberdelincuentes realmente ha regresado o no.
Afortunadamente, el director de investigación de malware de Avast, Jakub Kroustek, encontró recientemente una muestra del cifrador utilizado por el nuevo grupo de ransomware que puede o no ser REvil. Cabe señalar que otras operaciones de ransomware han utilizado el cifrador de REvil en el pasado, pero todas han utilizado ejecutables parcheados en lugar de tener acceso directo al código fuente del grupo.
Varios investigadores de seguridad y analistas de malware que hablaron con BleepingComputer han confirmado que esta nueva muestra está compilada a partir del código fuente de REvil aunque incluye nuevas modificaciones. En una publicación en Twitter, el investigador de seguridad R3MRUM dijo que aunque el número de versión de muestra es 1.0, en realidad es una continuación de la última versión de cifrado REvil (2.08) que se publicó antes del cierre del grupo.
El CEO de Advanced Intel, Vitali Kremez, también pudo aplicar ingeniería inversa a la muestra en cuestión, y le confirmó a BleepingComputer que se compiló a partir del código fuente el 26 de abril y se quitó el parche.
Aunque el primer representante público de REvil conocido como "Desconocido" todavía está desaparecido, el investigador de inteligencia de amenazas FellowSecurity le dijo al medio que uno de los principales desarrolladores del grupo de ransomware había revivido la operación con un nuevo nombre.
En este momento, todavía no sabemos a qué se refiere esta versión renombrada del grupo de ransomware REvil, pero ahora que REvil está de regreso, espere ver más ataques de alto perfil contra objetivos importantes y valiosos en todo el mundo.
Vía BleepingComputer