Eksperter analyserede en ny prøve af malware og bekræftede REvil Return

På baggrund af voksende spændinger mellem Rusland og USA, eksperter analyserede prøver af den nye malware og bekræftede tilbagekomsten af ​​REvil cyberkriminelle med en ny ransomware.

Efter starten på Ruslands invasion af Ukraine, REvil's TOR websteder begyndte at genoplive, men de havde ikke de gamle oplysninger, de omdirigerede besøgende til URL'erne på en ny, unavngiven ransomware hacker gruppe.

Mens disse websteder ikke var som tidligere REvil websteder, det faktum, at den gamle infrastruktur blev omdirigeret til nye URL'er, peger på tilbagevenden af ​​gruppering. Imidlertid, i november, beskeder "REvil is bad" begyndte at dukke op på gruppens hjemmesider. Sådan adgang til hackersider talte om handlinger fra retshåndhævende myndigheder eller cyberkriminelle, så de genoplivede sider af REvil kan ikke tjene som et stærkt bevis på bandens tilbagevenden.

Jakub Krustek
Jakub Krustek

Den eneste måde at vide med sikkerhed, om REvil var tilbage, var at finde en prøve ransomware og analysere den for at afgøre, om den var patchet eller udviklet fra kildekoden. Den rigtige prøve af den nye ransomware blev opdaget i denne uge af AVAST forsker Jakub Krustek. Analyse af prøven bekræftede forbindelsen mellem den unavngivne gruppe og REvil.

Ifølge analytikere, den opdagede prøve af virussen blev kompileret fra REvil-kildekoden, og indeholder også friske ændringer. Sikkerhedsforsker R3MRUM tweeted, at prøvens versionsnummer er blevet ændret til 1.0, men det er en fortsættelse af den seneste version, 2.08, frigivet af REvil før den blev ødelagt.

For et par timer siden, vi blokerede en #ransomware-prøve in-the-wild, der ligner en ny #Sodinokibi / #REvil variant. Tidsstempel 2022-04-27, ny konfig, ny mutex, kampagne-id, etc. Sjov ting… det krypterer ikke filer; tilføjer kun en tilfældig udvidelse.Jakub Kroustek rapporterede

Specialisten kunne ikke forklare, hvorfor virussen ikke krypterer filer, men mener, at det er kompileret ud fra kildekoden.

Eksperter bekræfter tilbagekomsten af ​​REvil
Versionsændring i den nye REvil encoder

Avanceret Intel direktør Vitaly Kremez undersøgte også prøven og bekræftede, at den var udarbejdet fra kilden den 26. april. Ifølge ham, den nye REvil-prøve indeholder en ny 'accs’ konfigurationsfelt, der indeholder legitimationsoplysningerne for det angrebne offer.

Kremez mener, at 'accs’ konfigurationsmulighed bruges til at forhindre kryptering på andre enheder, der ikke indeholder de rigtige Windows-konti og domæner, tillader målrettede angreb.

Ud over “tilh” parameter, SUB- og PID-parametrene, der bruges som kampagne- og filial-id'er, er blevet ændret i konfigurationen af ​​den nye REvil-prøve at bruge længere GUID-type værdier som f.eks “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

Bleeping Computer testede også en ransomware-prøve og det skabte en løsesumseddel, der er identisk med de gamle REvil-advarsler om løsesum.

Eksperter bekræfter tilbagekomsten af ​​REvil
REvil løsesum note

Den nye gruppe kalder sig selv “Sodinokibi“, men det nye websted er næsten identisk med det gamle Revil-websted.

Eksperter bekræfter tilbagekomsten af ​​REvil

Ikke overraskende, REvil har skiftet navn som en del af den nye operation, især på grund af det forværrede forhold mellem USA og Rusland.

Når ransomware-operationer omdøbes, de omdøbes normalt til at omgå retshåndhævelse eller sanktioner, der forhindrer betaling af løsesum. Derfor, det er usædvanligt, at REvil offentligt annoncerer sin tilbagevenden i stedet for at forsøge at undgå opdagelse, som vi har set i mange andre ransomware rebrands.

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap