מומחים ניתחו דוגמה חדשה של תוכנות זדוניות ואישרו את החזרת REvil

הלגה סמית 'מאי 4, 2022עודכן לאחרונה: מאי 14, 2022
18 2 דקות לקרוא

על רקע המתיחות הגוברת בין רוסיה לארצות הברית, מומחים ניתחו דוגמאות של התוכנה הזדונית החדשה ואישרו את חזרתם של פושעי הסייבר של REvil עם תוכנת כופר חדשה.

לאחר תחילת הפלישה של רוסיה לאוקראינה, של REvil TOR אתרים החלו להתעורר, אבל לא היה להם את המידע הישן, הם הפנו מבקרים לכתובות URL של חדש, קבוצת האקרים ללא שם של תוכנות כופר.

אמנם אתרים אלו לא היו כמו אתרי REvil הקודמים, העובדה שהתשתית הישנה הופנתה לכתובות URL חדשות מצביעה על החזרה של קיבוץ. למרות זאת, בנובמבר, הודעות "REvil is bad" החלו להופיע באתרי הקבוצה. גישה כזו לאתרי האקרים דיברה על פעולות של רשויות אכיפת חוק או פושעי סייבר, כך שהדפים המתחדשים של REvil אינם יכולים לשמש עדות חזקה לחזרתה של הכנופיה.

יעקב קרוסטק
יעקב קרוסטק

הדרך היחידה לדעת בוודאות אם REvil חזרה הייתה למצוא תוכנת כופר לדוגמה ולנתח אותה כדי לקבוע אם היא תוקנה או פותחה מקוד המקור. הדוגמה הנכונה של תוכנת הכופר החדשה התגלתה השבוע על ידי AVAST חוֹקֵר יעקב קרוסטק. ניתוח המדגם אישר את הקשר של הקבוצה ללא שם עם REvil.

לדברי אנליסטים, הדגימה שהתגלתה של הנגיף הורכבה מקוד המקור של REvil, ומכילה גם שינויים טריים. חוקר אבטחה R3MRUM צייץ שמספר הגרסה של המדגם שונה ל 1.0, אבל זה המשך של הגרסה האחרונה, 2.08, שוחרר על ידי REvil לפני שהושמד.

לפני כמה שעות, חסמנו דגימת #כופר בטבע שנראית כמו #Sodinokibi חדש / #גרסה של REvil. חותמת זמן 2022-04-27, תצורה חדשה, mutex חדש, מזהה מסע פרסום, וכו. דבר מצחיק… זה לא מצפין קבצים; רק מוסיף הרחבה אקראית.דיווח יעקב קרוסטק

המומחה לא ידע להסביר מדוע הווירוס אינו מצפין קבצים, אבל מאמין שזה הוידור מקוד המקור.

מומחים מאשרים את החזרה של REvil
שינוי גרסה במקודד REvil החדש

אינטל מתקדמת מנכ"ל ויטלי קרמז בדק גם את המדגם ואישר שהוא נערך מהמקור ב-26 באפריל. לפיו, מדגם ה-REvil החדש כולל 'accs’ שדה תצורה המכיל את האישורים של הקורבן המותקף.

קרמז מאמין שה-acs’ אפשרות התצורה משמשת למניעת הצפנה במכשירים אחרים שאינם מכילים את חשבונות Windows והדומיינים הנכונים, מאפשר התקפות ממוקדות.

בנוסף ל “accs” פרמטר, הפרמטרים SUB ו-PID המשמשים כמזהי מסע פרסום וסניף שונו בתצורה של מדגם REvil החדש כדי להשתמש בערכי סוג GUID ארוכים יותר כגון “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

BleepingComputer בדק גם מדגם של תוכנת כופר וזה יצר שטר כופר זהה לאזהרות הכופר הישנות של REvil.

מומחים מאשרים את החזרה של REvil
פתק כופר REvil

הקבוצה החדשה מתקשרת לעצמה “Sodinokibi“, אולם האתר החדש כמעט זהה לאתר Revil הישן.

מומחים מאשרים את החזרה של REvil

לא מפתיע, REvil שינתה את שמה כחלק מהמבצע החדש, במיוחד בשל החרפת היחסים בין ארה"ב לרוסיה.

כאשר פעולות כופר עוברות מיתוג מחדש, הם בדרך כלל משנים את שמם כדי לעקוף את אכיפת החוק או סנקציות המונעות תשלום כופר. לכן, זה יוצא דופן ש-REvil מודיע בפומבי על החזרתו במקום לנסות להימנע מגילוי, כפי שראינו במיתוגים מחדש רבים אחרים של תוכנות כופר.
תגים
הלגה סמית 'מאי 4, 2022עודכן לאחרונה: מאי 14, 2022
18 2 דקות לקרוא

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה