Eksperter analyserede en ny prøve af malware og bekræftede REvil Return
På baggrund af voksende spændinger mellem Rusland og USA, eksperter analyserede prøver af den nye malware og bekræftede tilbagekomsten af REvil cyberkriminelle med en ny ransomware.
Efter starten på Ruslands invasion af Ukraine, REvil's TOR websteder begyndte at genoplive, men de havde ikke de gamle oplysninger, de omdirigerede besøgende til URL'erne på en ny, unavngiven ransomware hacker gruppe.
Mens disse websteder ikke var som tidligere REvil websteder, det faktum, at den gamle infrastruktur blev omdirigeret til nye URL'er, peger på tilbagevenden af gruppering. Imidlertid, i november, beskeder "REvil is bad" begyndte at dukke op på gruppens hjemmesider. Sådan adgang til hackersider talte om handlinger fra retshåndhævende myndigheder eller cyberkriminelle, så de genoplivede sider af REvil kan ikke tjene som et stærkt bevis på bandens tilbagevenden.
Den eneste måde at vide med sikkerhed, om REvil var tilbage, var at finde en prøve ransomware og analysere den for at afgøre, om den var patchet eller udviklet fra kildekoden. Den rigtige prøve af den nye ransomware blev opdaget i denne uge af AVAST forsker Jakub Krustek. Analyse af prøven bekræftede forbindelsen mellem den unavngivne gruppe og REvil.
Ifølge analytikere, den opdagede prøve af virussen blev kompileret fra REvil-kildekoden, og indeholder også friske ændringer. Sikkerhedsforsker R3MRUM tweeted, at prøvens versionsnummer er blevet ændret til 1.0, men det er en fortsættelse af den seneste version, 2.08, frigivet af REvil før den blev ødelagt.
Specialisten kunne ikke forklare, hvorfor virussen ikke krypterer filer, men mener, at det er kompileret ud fra kildekoden.
Versionsændring i den nye REvil encoder
Avanceret Intel direktør Vitaly Kremez undersøgte også prøven og bekræftede, at den var udarbejdet fra kilden den 26. april. Ifølge ham, den nye REvil-prøve indeholder en ny 'accs’ konfigurationsfelt, der indeholder legitimationsoplysningerne for det angrebne offer.
Kremez mener, at 'accs’ konfigurationsmulighed bruges til at forhindre kryptering på andre enheder, der ikke indeholder de rigtige Windows-konti og domæner, tillader målrettede angreb.
Ud over “tilh” parameter, SUB- og PID-parametrene, der bruges som kampagne- og filial-id'er, er blevet ændret i konfigurationen af den nye REvil-prøve at bruge længere GUID-type værdier som f.eks “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.
Bleeping Computer testede også en ransomware-prøve og det skabte en løsesumseddel, der er identisk med de gamle REvil-advarsler om løsesum.
REvil løsesum note
Den nye gruppe kalder sig selv “Sodinokibi“, men det nye websted er næsten identisk med det gamle Revil-websted.
Ikke overraskende, REvil har skiftet navn som en del af den nye operation, især på grund af det forværrede forhold mellem USA og Rusland.