Los expertos analizaron una nueva muestra de malware y confirmaron el regreso de REvil

Helga SmithMayo 4, 2022Última actualización: Mayo 14, 2022

10 2 minutos de lectura

En el contexto de las crecientes tensiones entre Rusia y Estados Unidos, los expertos analizaron muestras del nuevo malware y confirmaron el regreso de los ciberdelincuentes REvil con un nuevo ransomware.

Después del inicio de la invasión rusa de Ucrania, REvil's COLINA los sitios comenzaron a revivir, pero no tenían la información antigua, redirigieron a los visitantes a las URL de un nuevo, grupo de hackers de ransomware sin nombre.

Si bien estos sitios no eran como los sitios anteriores de REvil, el hecho de que la antigua infraestructura estaba redirigiendo a nuevas URL apunta al regreso de la agrupación. sin embargo, en noviembre, mensajes "REvil is bad" comenzaron a aparecer en los sitios web del grupo. Dicho acceso a sitios de piratas informáticos hablaba de las acciones de las fuerzas del orden o los ciberdelincuentes., por lo que las paginas revividas de REvil no pueden servir como evidencia contundente del regreso de la pandilla.

La única forma de saber con certeza si REvil había regresado era encontrar un ransomware de muestra y analizarlo para determinar si se parchó o se desarrolló a partir del código fuente.. La muestra correcta del nuevo ransomware fue descubierta esta semana por AVAST investigador Jakub Krustek. El análisis de la muestra confirmó la conexión del grupo no identificado con REvil.

Según analistas, la muestra descubierta del virus se compiló a partir del código fuente de REvil, y también contiene nuevos cambios. investigador de seguridad R3MRUM tuiteó que el número de versión de la muestra se ha cambiado a 1.0, pero es una continuación de la última versión, 2.08, lanzado por REvil antes de que fuera destruido.

Hace unas horas, bloqueamos una muestra de #ransomware en estado salvaje que parece un nuevo #Sodinokibi / #Variante REvil. marca de tiempo 2022-04-27, nueva configuración, nuevo mutex, identificador de campaña, etc.. Cosa graciosa… no encripta archivos; solo agrega una extensión aleatoria.Jakub Kroustek informó

El especialista no pudo explicar por qué el virus no cifra los archivos, pero cree que fue compilado a partir del código fuente.

Los expertos confirman el regreso de REvil
Cambio de versión en el nuevo codificador REvil

Intel avanzado CEO Vitali Kremez también examinó la muestra y confirmó que fue recopilada de la fuente el 26 de abril.. De acuerdo con él, la nueva muestra de REvil incluye un nuevo 'accs’ campo de configuración que contiene las credenciales de la víctima atacada.

Kremez cree que el 'acs’ La opción de configuración se usa para evitar el cifrado en otros dispositivos que no contienen las cuentas y los dominios de Windows correctos., permitir ataques dirigidos.

Además de “ACC” parámetro, los parámetros SUB y PID utilizados como Campaign y Branch ID se han cambiado en la configuración de la nueva muestra de REvil para usar valores de tipo GUID más largos, como “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

BleepingEquipo también probó una muestra de ransomware y creó una nota de rescate que es idéntica a las antiguas advertencias de rescate de REvil.

Los expertos confirman el regreso de REvil
Nota de rescate REvil

El nuevo grupo se hace llamar “Sodinokibi“, sin embargo, el nuevo sitio es casi idéntico al antiguo sitio de Revil..

Los expertos confirman el regreso de REvil

No es sorprendente, REvil ha cambiado su nombre como parte de la nueva operación, especialmente debido al empeoramiento de las relaciones entre los EE. UU. y Rusia.

Cuando se cambia el nombre de las operaciones de ransomware, por lo general, se les cambia el nombre para eludir la aplicación de la ley o las sanciones que impiden el pago de un rescate. Por lo tanto, es inusual que REvil anuncie públicamente su regreso en lugar de tratar de evitar la detección, como hemos visto en muchos otros cambios de marca de ransomware.

Etiquetas

Helga SmithMayo 4, 2022Última actualización: Mayo 14, 2022

10 2 minutos de lectura

Los expertos analizaron una nueva muestra de malware y confirmaron el regreso de REvil

En el contexto de las crecientes tensiones entre Rusia y Estados Unidos, los expertos analizaron muestras del nuevo malware y confirmaron el regreso de los ciberdelincuentes REvil con un nuevo ransomware.

Helga Smith

Deja una respuestaCancelar respuesta

Quitar el virus KAAA ransomware (+DECRIPTAR Archivos .file)

Eliminar el virus UAJS Ransomware (+DECRIPTAR archivos .uajs)

Quitar el virus UAZQ ransomware (+DECRIPTAR archivos .uazq)

Eliminar el virus VOOK Ransomware (+DECRIPTAR archivos .vook)

Quitar el virus LOOY Ransomware (+DECRIPTAR archivos .looy)

Quitar el virus KOOL Ransomware (+DECRIPTAR archivos .kool)

Quitar el virus NOOD ransomware (+DECRIPTAR archivos .nood)

Quitar el virus WIAW Ransomware (+DECRIPTAR archivos .wiaw)

Eliminar el virus WISZ Ransomware (+DECRIPTAR archivos .wisz)

Quitar el virus LKFR Ransomware (+DECRIPTAR archivos .lkfr)

Eliminar el virus LKHY Ransomware (+DECRIPTAR archivos .lkhy)

Eliminar el virus LDHY Ransomware (+DECRIPTAR archivos .ldhy)

Eliminar el virus KVIP Ransomware (+DECRIPTAR archivos .kvip)

Eliminar el virus CDCC Ransomware (+DECRIPTAR archivos .cdcc)

Quitar el virus CDXX Ransomware (+DECRIPTAR archivos .cdxx)

En el contexto de las crecientes tensiones entre Rusia y Estados Unidos, los expertos analizaron muestras del nuevo malware y confirmaron el regreso de los ciberdelincuentes REvil con un nuevo ransomware.

Helga Smith

Password Thief RedLine Stealer continúa su marcha triunfal alrededor del planeta

Eliminar el virus HRUU Ransomware (+DESCIFRAR archivos .hruu)

Deja una respuestaCancelar respuesta

Publicaciones relacionadas

Nueva versión de Magniber Ransomware amenaza Windows 11 Usuarios

El extorsionador de buena voluntad obliga a las víctimas a hacer buenas obras

La botnet rusa Fronton puede hacer mucho más que ataques DDoS masivos

Microsoft advierte sobre el aumento de la actividad del malware XorDdos