Experten haben eine neue Malware-Probe analysiert und die Rückkehr von REvil bestätigt

Vor dem Hintergrund wachsender Spannungen zwischen Russland und den USA, Experten analysierten Proben der neuen Malware und bestätigten die Rückkehr von REvil-Cyberkriminellen mit einer neuen Ransomware.

Nach Beginn der russischen Invasion in der Ukraine, REvils TOR Websites begannen sich wiederzubeleben, aber sie hatten nicht die alten Informationen, Sie leiteten Besucher zu den URLs eines neuen um, unbenannte Ransomware-Hackergruppe.

Diese Sites waren zwar nicht wie frühere REvil-Sites, Die Tatsache, dass die alte Infrastruktur auf neue URLs umleitete, weist auf die Rückkehr der Gruppierung hin. jedoch, im November, Meldungen „REvil is bad“ begannen auf den Websites der Gruppe zu erscheinen. Solche Zugriffe auf Hackerseiten sprachen von Aktionen von Strafverfolgungsbehörden oder Cyberkriminellen, Daher können die wiederbelebten Seiten von REvil nicht als starker Beweis für die Rückkehr der Bande dienen.

Jakob Krustek
Jakob Krustek

Der einzige Weg, um sicher zu wissen, ob REvil zurück war, bestand darin, eine Beispiel-Ransomware zu finden und sie zu analysieren, um festzustellen, ob sie gepatcht oder aus dem Quellcode entwickelt wurde. Die richtige Probe der neuen Ransomware wurde diese Woche von entdeckt AVAST Forscher Jakob Krustek. Die Analyse der Probe bestätigte die Verbindung der namenlosen Gruppe mit REvil.

Laut Analysten, Die entdeckte Probe des Virus wurde aus dem REvil-Quellcode kompiliert, und enthält auch frische Änderungen. Sicherheitsforscher R3MRUM hat getwittert, dass die Versionsnummer des Beispiels geändert wurde 1.0, aber es ist eine Fortsetzung der neuesten Version, 2.08, veröffentlicht von REvil, bevor es zerstört wurde.

Vor ein paar Stunden, wir haben eine #ransomware-Probe in freier Wildbahn blockiert, die wie ein neues #Sodinokibi aussieht / #REvil-Variante. Zeitstempel 2022-04-27, neue Konfig, neuer Mutex, Kampagnen-ID, usw. Lustige Sache… Es verschlüsselt keine Dateien; fügt nur eine zufällige Erweiterung hinzu.Jakub Kroustek berichtete

Warum der Virus keine Dateien verschlüsselt, konnte der Spezialist nicht erklären, glaubt aber, dass es aus dem Quellcode kompiliert wurde.

Experten bestätigen die Rückkehr von REvil
Versionsänderung im neuen REvil Encoder

Erweiterte Intel Fortinet Fortinet untersuchte auch die Probe und bestätigte, dass sie am 26. April aus der Quelle zusammengestellt wurde. Laut ihm, Das neue REvil-Sample enthält eine neue „accs’ Konfigurationsfeld mit den Zugangsdaten des angegriffenen Opfers.

Kremez glaubt, dass die ‚accs’ Konfigurationsoption wird verwendet, um die Verschlüsselung auf anderen Geräten zu verhindern, die nicht die richtigen Windows-Konten und Domänen enthalten, gezielte Angriffe ermöglichen.

In Ergänzung zu “gem” Parameter, Die als Kampagnen- und Branchen-IDs verwendeten SUB- und PID-Parameter wurden in der Konfiguration des neuen REvil-Beispiels geändert um längere Werte vom GUID-Typ zu verwenden, wie z “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

Piepender Computer testete auch eine Ransomware-Probe und es wurde eine Lösegeldforderung erstellt, die mit den alten REvil-Lösegeldwarnungen identisch ist.

Experten bestätigen die Rückkehr von REvil
REvil Lösegeldforderung

Die neue Gruppe nennt sich selbst “Sodinokibi“, Die neue Seite ist jedoch fast identisch mit der alten Revil-Seite.

Experten bestätigen die Rückkehr von REvil

Nicht überraschend, REvil hat seinen Namen als Teil der neuen Operation geändert, insbesondere aufgrund der sich verschlechternden Beziehungen zwischen den USA und Russland.

Wenn Ransomware-Operationen umbenannt werden, Sie werden normalerweise umbenannt, um die Strafverfolgung oder Sanktionen zu umgehen, die die Zahlung eines Lösegelds verhindern. Deshalb, Es ist ungewöhnlich, dass REvil seine Rückkehr öffentlich ankündigt, anstatt zu versuchen, eine Entdeckung zu vermeiden, wie wir bei vielen anderen Ransomware-Rebrandings gesehen haben.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"