Los expertos analizaron una nueva muestra de malware y confirmaron el regreso de REvil

En el contexto de las crecientes tensiones entre Rusia y Estados Unidos, los expertos analizaron muestras del nuevo malware y confirmaron el regreso de los ciberdelincuentes REvil con un nuevo ransomware.

Después del inicio de la invasión rusa de Ucrania, REvil's COLINA los sitios comenzaron a revivir, pero no tenían la información antigua, redirigieron a los visitantes a las URL de un nuevo, grupo de hackers de ransomware sin nombre.

Si bien estos sitios no eran como los sitios anteriores de REvil, el hecho de que la antigua infraestructura estaba redirigiendo a nuevas URL apunta al regreso de la agrupación. sin embargo, en noviembre, mensajes "REvil is bad" comenzaron a aparecer en los sitios web del grupo. Dicho acceso a sitios de piratas informáticos hablaba de las acciones de las fuerzas del orden o los ciberdelincuentes., por lo que las paginas revividas de REvil no pueden servir como evidencia contundente del regreso de la pandilla.

La única forma de saber con certeza si REvil había regresado era encontrar un ransomware de muestra y analizarlo para determinar si se parchó o se desarrolló a partir del código fuente.. La muestra correcta del nuevo ransomware fue descubierta esta semana por AVAST investigador Jakub Krustek. El análisis de la muestra confirmó la conexión del grupo no identificado con REvil.

Según analistas, la muestra descubierta del virus se compiló a partir del código fuente de REvil, y también contiene nuevos cambios. investigador de seguridad R3MRUM tuiteó que el número de versión de la muestra se ha cambiado a 1.0, pero es una continuación de la última versión, 2.08, lanzado por REvil antes de que fuera destruido.

El especialista no pudo explicar por qué el virus no cifra los archivos, pero cree que fue compilado a partir del código fuente.

Cambio de versión en el nuevo codificador REvil

Intel avanzado CEO Vitali Kremez también examinó la muestra y confirmó que fue recopilada de la fuente el 26 de abril.. De acuerdo con él, la nueva muestra de REvil incluye un nuevo 'accs’ campo de configuración que contiene las credenciales de la víctima atacada.

Kremez cree que el 'acs’ La opción de configuración se usa para evitar el cifrado en otros dispositivos que no contienen las cuentas y los dominios de Windows correctos., permitir ataques dirigidos.

Además de “ACC” parámetro, los parámetros SUB y PID utilizados como Campaign y Branch ID se han cambiado en la configuración de la nueva muestra de REvil para usar valores de tipo GUID más largos, como “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

BleepingEquipo también probó una muestra de ransomware y creó una nota de rescate que es idéntica a las antiguas advertencias de rescate de REvil.

Nota de rescate REvil

El nuevo grupo se hace llamar “Sodinokibi“, sin embargo, el nuevo sitio es casi idéntico al antiguo sitio de Revil..

No es sorprendente, REvil ha cambiado su nombre como parte de la nueva operación, especialmente debido al empeoramiento de las relaciones entre los EE. UU. y Rusia.