Η ομάδα ransomware REvil είναι και πάλι σε λειτουργία με νέα υποδομή και τροποποιημένο encryptor αφού υποτίθεται ότι έκλεισε πέρυσι.
Δείτε επίσης: Μέλος του REvil ransomware εκδόθηκε στις ΗΠΑ για να δικαστεί για την επίθεση Kaseya
Τον Οκτώβριο του 2021, η περιβόητη συμμορία ransomware τερματίστηκε μετά από μια επιχείρηση επιβολής του νόμου που κατέλαβε τους Tor server της. Στη συνέχεια ακολούθησε η σύλληψη πολλών από τα βασικά μέλη της από το FSB της Ρωσίας.
Καθώς η εισβολή της Ρωσίας στην Ουκρανία επιδείνωσε τις σχέσεις μεταξύ αυτής και των ΗΠΑ, η κυβέρνηση των ΗΠΑ προχώρησε και έκλεισε μονομερώς το κανάλι επικοινωνίας που είχε για την κυβερνοασφάλεια με τη Μόσχα. Ως αποτέλεσμα, οι ΗΠΑ έχουν επίσης αποσυρθεί από τη διαδικασία διαπραγμάτευσης σχετικά με το REvil.
Δείτε επίσης: Ρωσία: Κατηγορεί 8 μέλη συμμορίας ύποπτα για το ransomware REvil
Ενώ φαινόταν για λίγο ότι η επιχείρηση REvil είχε κλείσει οριστικά το κατάστημα, η παλιά υποδομή Tor του γκρουπ άρχισε να λειτουργεί πρόσφατα ξανά. Ωστόσο, αντί να εμφανίζουν παλιούς ιστότοπους, οι Tor servers του ανακατευθύνουν τους επισκέπτες σε διευθύνσεις URL για μια νέα ανώνυμη λειτουργία ransomware σύμφωνα με μια αναφορά από το BleepingComputer.
Ένας νέος encryptor REvil
Οι ιστότοποι ανακατευθύνονται συνεχώς, γι’ αυτό η εύρεση ενός νέου δείγματος του ransomware encryptor του REvil και η ανάλυσή του είναι ο μόνος τρόπος να πούμε εάν η ομάδα έχει όντως επιστρέψει ή όχι.
Ευτυχώς, ο διευθυντής έρευνας κακόβουλου λογισμικού στην Avast, Jakub Kroustek, βρήκε πρόσφατα ένα δείγμα του encryptor που χρησιμοποιείται από τη νέα ομάδα ransomware που μπορεί να είναι ή όχι REvil. Αξίζει να σημειωθεί ότι άλλες λειτουργίες ransomware έχουν χρησιμοποιήσει τον encryptor του REvil στο παρελθόν, αλλά όλες χρησιμοποιούσαν διορθωμένα εκτελέσιμα σε αντίθεση με την άμεση πρόσβαση στον πηγαίο κώδικα της ομάδας.
Πολλοί ερευνητές ασφαλείας και αναλυτές κακόβουλου λογισμικού που μίλησαν με το BleepingComputer επιβεβαίωσαν ότι αυτό το νέο δείγμα έχει δημιουργηθεί από τον πηγαίο κώδικα του REvil, αν και περιλαμβάνει ορισμένες νέες αλλαγές. Σε μια ανάρτηση στο Twitter, ο ερευνητής ασφάλειας R3MRUM είπε ότι αν και ο αριθμός έκδοσης του δείγματος είναι 1.0, στην πραγματικότητα αποτελεί συνέχεια της τελευταίας έκδοσης encryptor του REvil (2.08) που κυκλοφόρησε πριν κλείσει η ομάδα.
Ο προηγμένος διευθύνων σύμβουλος της Intel Vitali Kremez ήταν σε θέση να αναλύσει το εν λόγω δείγμα και επιβεβαίωσε στο BleepingComputer ότι είχε μεταγλωττιστεί από τον πηγαίο κώδικα στις 26 Απριλίου και δεν είχε επιδιορθωθεί.
Αν και ο αρχικός δημόσιος εκπρόσωπος του REvil, γνωστός ως “Unknown” παραμένει αγνοούμενος, ο ερευνητής πληροφοριών απειλών FellowSecurity είπε στο ειδησεογραφικό πρακτορείο ότι ένας από τους αρχικούς βασικούς προγραμματιστές της ομάδας ransomware είχε επανεκκινήσει τη λειτουργία με νέο όνομα.
Δείτε επίσης: FBI: Κατέσχεσε 2,3 εκατομμύρια από θυγατρικές ransomware των REvil, Gandcrab
Προς το παρόν, δεν γνωρίζουμε ακόμα τι αναφέρεται σε αυτήν την ανανεωμένη έκδοση της ομάδας ransomware REvil, αλλά τώρα που το REvil επέστρεψε, περιμένετε να δείτε περισσότερες επιθέσεις υψηλού προφίλ σε σημαντικούς και πολύτιμους στόχους παγκοσμίως.
Πηγή πληροφοριών: techradar.com
