Experter analyserade ett nytt prov av skadlig programvara och bekräftade REvil Return

Mot bakgrund av växande spänningar mellan Ryssland och USA, experter analyserade prover av den nya skadliga programvaran och bekräftade återkomsten av REvil cyberbrottslingar med en ny ransomware.

Efter starten av Rysslands invasion av Ukraina, REvil's TOR webbplatser började återupplivas, men de hade inte den gamla informationen, de omdirigerade besökare till webbadresserna för en ny, icke namngiven ransomware hackergrupp.

Även om dessa platser inte var som tidigare REvil-sajter, det faktum att den gamla infrastrukturen omdirigerade till nya webbadresser pekar på återkomsten av gruppering. dock, i november, meddelanden "REvil is bad" började dyka upp på gruppens webbplatser. Sådan tillgång till hackersajter talade om brottsbekämpande myndigheters eller cyberbrottslingars agerande, så de återupplivade sidorna av REvil kan inte fungera som ett starkt bevis på att gänget återvänder.

Det enda sättet att säkert veta om REvil var tillbaka var att hitta ett prov på ransomware och analysera det för att avgöra om det var patchat eller utvecklat från källkoden. Rätt prov av den nya ransomware upptäcktes denna vecka av AVAST forskare Jakub Krustek. Analys av provet bekräftade kopplingen mellan den icke namngivna gruppen och REvil.

Enligt analytiker, det upptäckta provet av viruset kompilerades från REvil-källkoden, och innehåller även färska förändringar. Säkerhetsforskare R3MRUM twittrade att provets versionsnummer har ändrats till 1.0, men det är en fortsättning på den senaste versionen, 2.08, släpptes av REvil innan den förstördes.

Specialisten kunde inte förklara varför viruset inte krypterar filer, men tror att den kompilerades från källkoden.

Versionsändring i den nya REvil-kodaren

Avancerat Intel vd Vitaly Kremez undersökte också provet och bekräftade att det sammanställdes från källan den 26 april. Enligt honom, det nya REvil-provet innehåller ett nytt 'accs’ konfigurationsfält som innehåller uppgifterna för det attackerade offret.

Kremez tror att "acc’ konfigurationsalternativ används för att förhindra kryptering på andra enheter som inte innehåller rätt Windows-konton och domäner, tillåter riktade attacker.

Utöver “enl” parameter, SUB- och PID-parametrarna som används som kampanj- och filial-ID:n har ändrats i konfigurationen av det nya REvil-provet att använda längre GUID-typvärden som t.ex “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

Bleeping Computer testade också ett ransomware-prov och det skapade en lösenseddel som är identisk med de gamla REvil lösenvarningarna.

REvil lösensumma

Den nya gruppen ringer sig själva “Sodinokibi“, den nya sidan är dock nästan identisk med den gamla Revil-sidan.

Inte överraskande, REvil har bytt namn som en del av den nya verksamheten, särskilt på grund av de försämrade relationerna mellan USA och Ryssland.