Gli esperti hanno analizzato un nuovo campione di malware e hanno confermato il ritorno di REvil

Helga Smithpotrebbe 4, 2022Ultimo aggiornamento: potrebbe 14, 2022

10 2 minuti di lettura

Sullo sfondo delle crescenti tensioni tra Russia e Stati Uniti, gli esperti hanno analizzato campioni del nuovo malware e hanno confermato il ritorno dei criminali informatici REvil con un nuovo ransomware.

Dopo l’inizio dell’invasione russa dell’Ucraina, REvil's TOR i siti iniziarono a rinascere, ma non avevano le vecchie informazioni, reindirizzavano i visitatori agli URL di un nuovo, gruppo di hacker ransomware senza nome.

Sebbene questi siti non fossero come i precedenti siti REvil, il fatto che la vecchia infrastruttura reindirizzasse a nuovi URL indica il ritorno del raggruppamento. però, a novembre, i messaggi "REvil is bad" iniziarono ad apparire sui siti web del gruppo. Tale accesso ai siti degli hacker parlava delle azioni delle forze dell'ordine o dei criminali informatici, quindi le pagine riproposte di REvil non possono servire come una prova forte del ritorno della banda.

L'unico modo per sapere con certezza se REvil era tornato era trovare un campione di ransomware e analizzarlo per determinare se era stato patchato o sviluppato dal codice sorgente. Il campione esatto del nuovo ransomware è stato scoperto questa settimana da AVAST ricercatore Jakub Krustek. L'analisi del campione ha confermato la connessione del gruppo senza nome con REvil.

Secondo gli analisti, il campione scoperto del virus è stato compilato dal codice sorgente REvil, e contiene anche nuove modifiche. Ricercatore di sicurezza R3MRUM ha twittato che il numero di versione del campione è stato modificato in 1.0, ma è una continuazione dell'ultima versione, 2.08, rilasciato da REvil prima che fosse distrutto.

Alcune ore fa, abbiamo bloccato un campione di #ransomware in the wild che assomiglia a un nuovo #Sodinokibi / #Variante REvil. Timestamp 2022-04-27, nuova configurazione, nuovo mutex, ID campagna, eccetera. Cosa divertente… non crittografa i file; aggiunge solo un'estensione casuale.Lo ha riferito Jakub Kroustek

Lo specialista non è riuscito a spiegare perché il virus non crittografa i file, ma ritiene che sia stato compilato dal codice sorgente.

Gli esperti confermano il ritorno di REvil
Cambio di versione nel nuovo encoder REvil

Intel avanzata Amministratore delegato Vitaly Kremez ha inoltre esaminato il campione e ha confermato che era stato compilato dalla fonte il 26 aprile. Secondo lui, il nuovo campione REvil include un nuovo 'accs’ campo di configurazione contenente le credenziali della vittima attaccata.

Kremez ritiene che gli acc’ L'opzione di configurazione viene utilizzata per impedire la crittografia su altri dispositivi che non contengono gli account e i domini Windows corretti, consentendo attacchi mirati.

In aggiunta a “acc” parametro, i parametri SUB e PID utilizzati come Campaign e Branch ID sono stati modificati nella configurazione del nuovo sample REvil per utilizzare valori di tipo GUID più lunghi come “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

Computer che dorme ha anche testato un campione di ransomware e ha creato una richiesta di riscatto identica ai vecchi avvisi di riscatto REvil.

Gli esperti confermano il ritorno di REvil
Richiesta di riscatto REvil

Il nuovo gruppo si fa chiamare “Sodinokibi“, tuttavia il nuovo sito è quasi identico al vecchio sito Revil.

Gli esperti confermano il ritorno di REvil

Non sorprendentemente, REvil ha cambiato nome come parte della nuova operazione, soprattutto a causa del peggioramento delle relazioni tra Stati Uniti e Russia.

Quando le operazioni ransomware vengono rinominate, di solito vengono rinominati per aggirare le forze dell'ordine o le sanzioni che impediscono il pagamento di un riscatto. Perciò, è insolito che REvil annunci pubblicamente il suo ritorno piuttosto che cercare di evitare di essere scoperto, come abbiamo visto in molti altri rebrand di ransomware.

tag

Helga Smithpotrebbe 4, 2022Ultimo aggiornamento: potrebbe 14, 2022

10 2 minuti di lettura

Gli esperti hanno analizzato un nuovo campione di malware e hanno confermato il ritorno di REvil

Sullo sfondo delle crescenti tensioni tra Russia e Stati Uniti, gli esperti hanno analizzato campioni del nuovo malware e hanno confermato il ritorno dei criminali informatici REvil con un nuovo ransomware.

Helga Smith

lascia un commentocancella risposta

Rimuovere il virus BGZQ ransomware (+DECRITTO file .bgzq)

Rimuovere il virus BGJS ransomware (+DECRITTO file .bgjs)

Rimuovere il virus KAAA ransomware (+DECRYPT File .file)

Rimuovere il virus UAJS Ransomware (+DECRITTO file .uajs)

Rimuovere il virus UAZQ ransomware (+DECRITTO file .uazq)

Rimuovere il virus VOOK ransomware (+DECRITTO file .vook)

Rimuovere il virus LOOY ransomware (+DECRITTO file .looy)

Rimuovere KOOL Ransomware Virus (+DECRITTO file .kool)

Rimuovere il virus NOOD ransomware (+DECRYPT file .nood)

Rimuovere il virus WIAW ransomware (+DECRITTO file .wiaw)

Rimuovere il virus WISZ ransomware (+DECRITTO file .wisz)

Rimuovere il virus LKFR ransomware (+DECRITTO file .lkfr)

Rimuovere il virus LKHY ransomware (+DECRITTO file .lkhy)

Rimuovere il virus LDHY ransomware (+DECRITTO file .ldhy)

Rimuovere il virus KVIP ransomware (+DECRITTO file .kvip)

Sullo sfondo delle crescenti tensioni tra Russia e Stati Uniti, gli esperti hanno analizzato campioni del nuovo malware e hanno confermato il ritorno dei criminali informatici REvil con un nuovo ransomware.

Helga Smith

Ladro di password RedLine Stealer continua la sua marcia trionfante intorno al pianeta

Rimuovere HRUU Ransomware Virus (+DECRYPT .hruu File)

lascia un commentocancella risposta

articoli Correlati

La nuova versione di Magniber Ransomware minaccia Windows 11 Utenti

GoodWill Extortionist costringe le vittime a buone azioni

La botnet russa Fronton può fare molto di più dei massicci attacchi DDoS

Microsoft avverte dell'aumento dell'attività malware di XorDdos