Faimoasa grupare de ransomware cunoscută sub numele de REvil (alias Sodin sau Sodinokibi) revine după șase luni de inactivitate, a dezvăluit o analiză a noilor „mostre” de ransomware.
„Analiza acestor mostre indică faptul că dezvoltatorul are acces la codul sursă al REvil, întărind probabilitatea că grupul să reapară”, au declarat cercetătorii de la Secureworks Counter Threat Unit (CTU) într-un raport publicat recent.
„Identificarea mai multor mostre cu modificări variate într-o perioadă atât de scurtă de timp și lipsa unei noi versiuni oficiale indică faptul că REvil se află din nou în curs de dezvoltare intensă.”
REvil, prescurtare de la Ransomware Evil, este o schemă de ransomware-as-a-service (RaaS) și atribuită unei grupări din Rusia, cunoscută sub numele de Gold Southfield , apărută în momentul în care activitatea GandCrab a scăzut, iar cei din urmă și-au anunțat retragerea.
Este, de asemenea, una dintre primele grupări care a adoptat schema de extorcare dublă în care datele furate de la intruziuni sunt folosite pentru a genera un efect de pârghie suplimentar și pentru a obliga victimele să plătească.
Operațională din 2019 , gruparea de ransomware a ajuns, anul trecut, headliner în articolele de profil, pentru atacurile lor asupra companiilor JBS și Kaseya.
În octombrie 2021, urmare a acestor atacuri gruparea a fost determinată să închidă oficial operațiunile, după ce o acțiune a FBI i-a deturnat infrastructura serverului. În ianuarie, mai mulți membri aparținând acestei grupări au fost arestați de Serviciul Federal de Securitate (FSB) din Rusia în urma unor raiduri efectuate în 25 de locații din din țară.
Aparenta renaștere vine în momentul în care site-ul de Data Leak al REvil din rețeaua TOR a început redirecționarea către o nouă gazdă pe 20 aprilie. Avast a dezvăluit o săptămână mai târziu, că a identificat și blocat un atac ransomware „ce arată ca o nouă variantă Sodinokibi/REvil.”
Conform analizei făcută de Secureworks asupra „mostrelor” identificate, au fost observate actualizări în decriptarea șirurilor logice, locația sursă de stocare a configurației și cheile publice codificate. De asemenea, sunt revizuite domeniile Tor afișate în nota de răscumpărare, făcând referire la aceleași site-uri care au intrat în funcțiune luna trecută.
• REvil leak site: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
• REvil ransom payment site: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion
Renașterea lui REvil este probabil legată de invazia în curs de desfășurare a Ucrainei de către Rusia, în urma căreia SUA s-au retras de la cooperarea cu Rusia pentru a proteja infrastructurile critice în domeniul cybersecurity .
Această revenire subliniază încă o dată dificultatea de a elimina complet grupările de criminalitate cibernetică. REvil este încă un semn că grupările ransomware se desființează doar pentru a se regrupa sub aceeași/o nouă entitate și a relua activitățile ilegale.