Especialistas analisaram uma nova amostra de malware e confirmaram o retorno do REvil
Num contexto de crescentes tensões entre a Rússia e os Estados Unidos, especialistas analisaram amostras do novo malware e confirmaram o retorno dos cibercriminosos REvil com um novo ransomware.
Após o início da invasão da Ucrânia pela Rússia, REvil's Termos de Referência sites começaram a reviver, mas eles não tinham as informações antigas, eles redirecionaram os visitantes para os URLs de um novo, grupo de hackers ransomware sem nome.
Embora esses sites não fossem como os sites REvil anteriores, o fato da infraestrutura antiga estar redirecionando para novas URLs aponta para o retorno do agrupamento. Contudo, em novembro, mensagens “REvil é ruim” começaram a aparecer nos sites do grupo. Esse acesso a sites de hackers falava das ações de agências de aplicação da lei ou de cibercriminosos, então as páginas revividas do REvil não podem servir como uma forte evidência do retorno da gangue.
A única maneira de saber com certeza se o REvil estava de volta era encontrar um exemplo de ransomware e analisá-lo para determinar se ele foi corrigido ou desenvolvido a partir do código-fonte. A amostra certa do novo ransomware foi descoberta esta semana por Avast investigador Jakub Krustek. Análise da amostra confirmou ligação do grupo sem nome com REvil.
De acordo com analistas, a amostra descoberta do vírus foi compilada a partir do código-fonte do REvil, e também contém novas mudanças. Pesquisador de segurança R3MRUM twittou que o número da versão do exemplo foi alterado para 1.0, mas é uma continuação da versão mais recente, 2.08, lançado pelo REvil antes de ser destruído.
O especialista não soube explicar por que o vírus não criptografa os arquivos, mas acredita que foi compilado a partir do código-fonte.
Mudança de versão no novo codificador REvil
Intel Avançado CEO Vitaly Kremez também examinou a amostra e confirmou que ela foi compilada da fonte em 26 de abril. Segundo ele, a nova amostra REvil inclui um novo ‘accs’ campo de configuração contendo as credenciais da vítima atacada.
Kremez acredita que as 'contas’ opção de configuração é usada para evitar criptografia em outros dispositivos que não contêm as contas e domínios corretos do Windows, permitindo ataques direcionados.
Além do “contas” parâmetro, os parâmetros SUB e PID usados como IDs de campanha e filial foram alterados na configuração da nova amostra REvil para usar valores de tipo GUID mais longos, como “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.
BipandoComputador também testou uma amostra de ransomware e criou uma nota de resgate idêntica aos antigos avisos de resgate do REvil.
Nota de resgate REvil
O novo grupo se autodenomina “Sodinokibi“, no entanto, o novo site é quase idêntico ao antigo site do Revil.
Não surpreendentemente, REvil mudou seu nome como parte da nova operação, especialmente devido ao agravamento das relações entre os EUA e a Rússia.
