Печально известный шифровальщик REvil (он же Sodin или Sodinokibi), возобновил активность после шести месяцев бездействия, как показывает анализ новых образцов вредоносного ПО.
«Анализ этих образцов показывает, что разработчик имеет доступ к исходному коду REvil, что усиливает вероятность того, что киберпреступная группировка вновь в деле» - заявили исследователи из подразделения Secureworks Counter Threat Unit (CTU) в отчете, опубликованном в понедельник.
«Выявление множества образцов с различными модификациями за столь короткий промежуток времени и отсутствие официальной новой версии указывает на то, что REvil снова находится в активной разработке».
REvil, сокращенное от «Ransomware Evil», представляет собой схему ransomware-as-a-service (RaaS) и приписывается русскоязычной хакерской группе, известной как Gold Southfield, возникшей как раз тогда, когда активность GandCrab снизилась, и последняя объявила о своем уходе.
REvil - одна из самых первых групп, применивших схему двойного вымогательства, в которой украденные в результате взлома данные используются для создания дополнительных рычагов давления и принуждения жертв к выплате выкупа.
Действующая с 2019 года, группа шифровальщиков попала в заголовки газет в прошлом году благодаря своим громким атакам на JBS и Kaseya, что заставило банду официально свернуть активность в октябре 2021 года после того, как правоохранительные органы уничтожили ее серверную инфраструктуру.
Ранее в январе этого года несколько членов киберпреступного синдиката были арестованы ФСБ России в результате рейдов, проведенных в 25 различных точках страны.
Очевидное возрождение группировки произошло после того, как 20 апреля сайт утечек REvil в сети TOR начал перенаправлять на новый хост, а спустя неделю компания Avast, специализирующаяся на кибербезопасности, сообщила, что заблокировала образец шифровальщика, «который выглядит как новый вариант Sodinokibi/REvil».
Хотя было установлено, что данный образец не шифрует файлы, а только добавляет случайное расширение, компания Secureworks объяснила это программной ошибкой, допущенной в функционале, который переименовывает файлы, подвергающиеся шифрованию.
Кроме того, новые образцы, которые имеют дату 11 марта 2022 года, содержат заметные изменения в исходном коде, которые отличают их от артефактов REvil, датированных октябрем 2021 года.
Новый штамм содержит обновления логики расшифровки строк, место хранения конфигурации и жестко закодированные открытые ключи. Также были изменены домены Tor, указанные в записке с требованием выкупа, которые ссылаются на сайты, которые были запущены в прошлом месяце.
- Сайт утечек REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
- Сайт оплаты выкупа REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion
Возрождение REvil также, вероятно, связано с продолжающейся спецоперацией России на Украине, после которой США отказались от предложенного совместного сотрудничества между двумя странами для защиты критической инфраструктуры.
В любом случае, это событие является еще одним признаком того, что банды шифровальщиков залегают на дно, чтобы затем перегруппироваться, провести ребрендинг, и под другим именем и продолжить работу с того же места, где остановились, что подчеркивает крайнюю сложность полного искоренения киберпреступных группировок.
Источник: https://thehackernews.com
