Grupul de ransomware REvil funcționează din nou cu o infrastructură nouă și un criptor modificat, după ce se pare că a fost închis anul trecut.
În octombrie 2021, faimoasa bandă de ransomware a fost închisă după ce o operațiune a poliției i-a deturnat serverele Tor. Aceasta a fost urmată de arestarea mai multor dintre membrii săi cheie de către FSB-ul rus.
Pe măsură ce invazia Ucrainei de către Rusia a înrăutățit relațiile dintre Rusia și Statele Unite, guvernul SUA a continuat și și-a închis unilateral canalul de comunicare de securitate cibernetică cu Moscova. Drept urmare, Statele Unite s-au retras de asemenea din procesul de negociere REvil.
Deși părea puțin acolo că REvil închisese definitiv magazinul, vechea infrastructură Tor a grupului a început recent să funcționeze din nou. Cu toate acestea, în loc să afișeze site-uri web vechi, serverele Tor redirecționează vizitatorii către adrese URL pentru o nouă operațiune de ransomware fără nume, potrivit unui raport de la BleepingComputer.
Un nou criptator REvil
Site-urile web sunt redirecționate tot timpul, de aceea găsirea unui eșantion nou de criptare ransomware REvil și analiza acestuia este singura modalitate de a afla dacă grupul de criminali cibernetici s-a întors cu adevărat sau nu.
Din fericire, directorul de cercetare a malware-ului Avast, Jakub Kroustek, a găsit recent un eșantion din criptorul folosit de noul grup de ransomware care poate fi sau nu REvil. Trebuie remarcat faptul că alte operațiuni de ransomware au folosit cifrul REvil în trecut, dar toate au folosit executabile corecţionate în loc să aibă acces direct la codul sursă al grupului.
Mai mulți cercetători de securitate și analiști de malware care au vorbit cu BleepingComputer au confirmat că această nouă mostră este compilată din codul sursă REvil, deși include noi modificări. Într-o postare pe Twitter, cercetătorul de securitate R3MRUM a spus că, deși numărul versiunii eșantionului este 1.0, este de fapt o continuare a ultimei versiuni de criptare REvil (2.08) care a fost lansată înainte de închiderea grupului.
CEO-ul Advanced Intel, Vitali Kremez, a putut, de asemenea, să efectueze inginerie inversă a eșantionului în cauză, confirmând lui BleepingComputer că acesta a fost compilat din codul sursă pe 26 aprilie și că patch-ul a fost eliminat.
Deși primul reprezentant public al REvil cunoscut sub numele de „Unknown” este încă dispărut, cercetătorul de informații despre amenințări FellowSecurity a declarat pentru presa că unul dintre principalii dezvoltatori ai grupului de ransomware a reînviat operațiunea sub un nou nume.
În acest moment, încă nu știm la ce se referă această versiune rebranded a grupului de ransomware REvil, dar acum, că REvil s-a întors, așteptați-vă să vedeți mai multe atacuri de profil împotriva unor ținte importante și valoroase din întreaga lume.
Prin intermediul computerului Bleeping