Des experts ont analysé un nouvel échantillon de logiciels malveillants et confirmé le retour de REvil

Sur fond de tensions croissantes entre la Russie et les États-Unis, des experts ont analysé des échantillons du nouveau malware et ont confirmé le retour des cybercriminels REvil avec un nouveau ransomware.

Après le début de l'invasion russe de l'Ukraine, REvil's TOR les sites ont commencé à revivre, mais ils n'avaient pas les anciennes informations, ils ont redirigé les visiteurs vers les URL d'un nouveau, groupe de hackers ransomware sans nom.

Alors que ces sites n'étaient pas comme les précédents sites REvil, le fait que l'ancienne infrastructure redirigeait vers de nouvelles URL indique le retour du regroupement. toutefois, en novembre, des messages "REvil is bad" ont commencé à apparaître sur les sites du groupe. Un tel accès à des sites de pirates a parlé des actions des forces de l'ordre ou des cybercriminels, donc les pages relancées de REvil ne peuvent pas servir de preuve solide du retour du gang.

La seule façon de savoir avec certitude si REvil était de retour était de trouver un exemple de rançongiciel et de l'analyser pour déterminer s'il avait été corrigé ou développé à partir du code source.. Le bon échantillon du nouveau rançongiciel a été découvert cette semaine par AVAST chercheur Jakub Krustek. L'analyse de l'échantillon a confirmé le lien du groupe sans nom avec REvil.

Selon les analystes, l'échantillon découvert du virus a été compilé à partir du code source REvil, et contient également de nouvelles modifications. Chercheur en sécurité R3MRUM a tweeté que le numéro de version de l'échantillon a été changé en 1.0, mais c'est la suite de la dernière version, 2.08, publié par REvil avant sa destruction.

Le spécialiste n'a pas pu expliquer pourquoi le virus ne chiffre pas les fichiers, mais pense qu'il a été compilé à partir du code source.

Changement de version dans le nouvel encodeur REvil

Intel avancé PDG Vitaly Krémez a également examiné l'échantillon et confirmé qu'il avait été compilé à partir de la source le 26 avril. Selon lui, le nouvel échantillon REvil comprend un nouvel 'accs’ champ de configuration contenant les identifiants de la victime attaquée.

Kremez croit que l'accs’ l'option de configuration est utilisée pour empêcher le chiffrement sur d'autres appareils qui ne contiennent pas les bons comptes et domaines Windows, permettant des attaques ciblées.

En plus de “accès” paramètre, les paramètres SUB et PID utilisés comme identifiants de campagne et de branche ont été modifiés dans la configuration du nouvel exemple REvil pour utiliser des valeurs de type GUID plus longues telles que “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

BipOrdinateur a également testé un échantillon de ransomware et il a créé une note de rançon identique aux anciens avertissements de rançon REvil.

Note de rançon REvil

Le nouveau groupe s'appelle “Sodinokibi“, cependant le nouveau site est presque identique à l'ancien site Revil.

Sans surprise, REvil a changé de nom dans le cadre de la nouvelle opération, notamment en raison de la détérioration des relations entre les États-Unis et la Russie.