Experten haben eine neue Malware-Probe analysiert und die Rückkehr von REvil bestätigt

Vor dem Hintergrund wachsender Spannungen zwischen Russland und den USA, Experten analysierten Proben der neuen Malware und bestätigten die Rückkehr von REvil-Cyberkriminellen mit einer neuen Ransomware.

Nach Beginn der russischen Invasion in der Ukraine, REvils TOR Websites begannen sich wiederzubeleben, aber sie hatten nicht die alten Informationen, Sie leiteten Besucher zu den URLs eines neuen um, unbenannte Ransomware-Hackergruppe.

Diese Sites waren zwar nicht wie frühere REvil-Sites, Die Tatsache, dass die alte Infrastruktur auf neue URLs umleitete, weist auf die Rückkehr der Gruppierung hin. jedoch, im November, Meldungen „REvil is bad“ begannen auf den Websites der Gruppe zu erscheinen. Solche Zugriffe auf Hackerseiten sprachen von Aktionen von Strafverfolgungsbehörden oder Cyberkriminellen, Daher können die wiederbelebten Seiten von REvil nicht als starker Beweis für die Rückkehr der Bande dienen.

Der einzige Weg, um sicher zu wissen, ob REvil zurück war, bestand darin, eine Beispiel-Ransomware zu finden und sie zu analysieren, um festzustellen, ob sie gepatcht oder aus dem Quellcode entwickelt wurde. Die richtige Probe der neuen Ransomware wurde diese Woche von entdeckt AVAST Forscher Jakob Krustek. Die Analyse der Probe bestätigte die Verbindung der namenlosen Gruppe mit REvil.

Laut Analysten, Die entdeckte Probe des Virus wurde aus dem REvil-Quellcode kompiliert, und enthält auch frische Änderungen. Sicherheitsforscher R3MRUM hat getwittert, dass die Versionsnummer des Beispiels geändert wurde 1.0, aber es ist eine Fortsetzung der neuesten Version, 2.08, veröffentlicht von REvil, bevor es zerstört wurde.

Warum der Virus keine Dateien verschlüsselt, konnte der Spezialist nicht erklären, glaubt aber, dass es aus dem Quellcode kompiliert wurde.

Versionsänderung im neuen REvil Encoder

Erweiterte Intel Fortinet Fortinet untersuchte auch die Probe und bestätigte, dass sie am 26. April aus der Quelle zusammengestellt wurde. Laut ihm, Das neue REvil-Sample enthält eine neue „accs’ Konfigurationsfeld mit den Zugangsdaten des angegriffenen Opfers.

Kremez glaubt, dass die ‚accs’ Konfigurationsoption wird verwendet, um die Verschlüsselung auf anderen Geräten zu verhindern, die nicht die richtigen Windows-Konten und Domänen enthalten, gezielte Angriffe ermöglichen.

In Ergänzung zu “gem” Parameter, Die als Kampagnen- und Branchen-IDs verwendeten SUB- und PID-Parameter wurden in der Konfiguration des neuen REvil-Beispiels geändert um längere Werte vom GUID-Typ zu verwenden, wie z “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

Piepender Computer testete auch eine Ransomware-Probe und es wurde eine Lösegeldforderung erstellt, die mit den alten REvil-Lösegeldwarnungen identisch ist.

REvil Lösegeldforderung

Die neue Gruppe nennt sich selbst “Sodinokibi“, Die neue Seite ist jedoch fast identisch mit der alten Revil-Seite.

Nicht überraschend, REvil hat seinen Namen als Teil der neuen Operation geändert, insbesondere aufgrund der sich verschlechternden Beziehungen zwischen den USA und Russland.