Các mẫu REvil mới cho biết băng đảng Ransomware đã trở lại sau nhiều tháng không hoạt động

REvil Ransomware

Hoạt động khét tiếng được gọi là REvil (hay còn gọi là Sodin hoặc Sodinokibi) đã tiếp tục trở lại sau sáu tháng không hoạt động, một phân tích về các mẫu ransomware mới đã được tiết lộ.

Các nhà nghiên cứu từ Secureworks Counter Threat Unit (CTU) cho biết: “Phân tích các mẫu này chỉ ra rằng nhà phát triển có quyền truy cập vào mã nguồn của REvil, củng cố khả năng nhóm mối đe dọa đã xuất hiện trở lại”.

“Việc xác định nhiều mẫu với các sửa đổi khác nhau trong một khoảng thời gian ngắn như vậy và việc thiếu phiên bản mới chính thức cho thấy REvil đang được phát triển tích cực một lần nữa.”

REvil, viết tắt của Ransomware Evil, là một kế hoạch ransomware dưới dạng dịch vụ (RaaS) và được quy cho một nhóm nói / có trụ sở tại Nga được gọi là Gold Southfield, phát sinh ngay khi hoạt động của GandCrab giảm sút và nhóm này tuyên bố nghỉ hưu.

Đây cũng là một trong những nhóm sớm nhất áp dụng kế hoạch tống tiền kép, trong đó dữ liệu bị đánh cắp từ các cuộc xâm nhập được sử dụng để tạo ra đòn bẩy bổ sung và buộc nạn nhân phải trả tiền.

Hoạt động từ năm 2019, nhóm ransomware đã gây chú ý vào năm ngoái vì các cuộc tấn công nổi tiếng của họ vào JBS và Kaseya, khiến băng nhóm này chính thức đóng cửa cửa hàng vào tháng 10 năm 2021 sau khi một hành động chiếm đoạt cơ sở hạ tầng máy chủ của họ.

Xem tiếp:   Các chuyên gia Khám phá Backdoor Được triển khai trên Mạng của Cơ quan Liên bang Hoa Kỳ

Đầu tháng Giêng này, một số thành viên thuộc tổ chức tội phạm mạng đã bị Cơ quan An ninh Liên bang Nga (FSB) bắt giữ sau các cuộc đột kích được tiến hành tại 25 địa điểm khác nhau trong nước.

Sự hồi sinh rõ ràng diễn ra khi trang web rò rỉ dữ liệu của REvil trong mạng TOR bắt đầu chuyển hướng sang máy chủ mới vào ngày 20 tháng 4, với công ty an ninh mạng Avast tiết lộ một tuần sau đó rằng họ đã chặn một mẫu ransomware trong tự nhiên “trông giống như một Sodinokibi / REvil mới. khác nhau.”

Mặc dù mẫu được đề cập được phát hiện không tệp và chỉ thêm phần mở rộng ngẫu nhiên, Secureworks đã xử lý nó thành một lỗi lập trình được giới thiệu trong chức năng đổi tên tệp đang được mã hóa.

Trên hết, các mẫu mới được phân tích bởi công ty an ninh mạng – mang dấu thời gian là ngày 11 tháng 3 năm 2022 – kết hợp những thay đổi đáng chú ý đối với mã nguồn giúp nó khác biệt với một tạo tác REvil khác vào tháng 10 năm 2021.

Điều này bao gồm các cập nhật đối với logic giải mã chuỗi, vị trí lưu trữ cấu hình và các khóa công khai được mã hóa cứng. Cũng được sửa đổi là các miền Tor được hiển thị trong ghi chú tiền chuộc, liên quan đến các trang web tương tự đã hoạt động vào tháng trước –

Xem tiếp:   Nhóm tin tặc WIRTE nhắm mục tiêu Chính phủ, Luật pháp, Các tổ chức tài chính ở Trung Đông

Trang web rò rỉ REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]Trang web thanh toán tiền chuộc của hành REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]hành tây

Sự hồi sinh của REvil cũng có khả năng gắn liền với cuộc xâm lược liên tục của Nga vào Ukraine, sau đó Mỹ đã ủng hộ đề xuất hợp tác chung giữa hai nước để bảo vệ cơ sở hạ tầng quan trọng.

Nếu có bất cứ điều gì, sự phát triển là một dấu hiệu khác cho thấy các phần tử ransomware giải tán chỉ để tập hợp lại và đổi thương hiệu dưới một tên khác và tiếp tục ngay từ nơi họ đã dừng lại, nhấn mạnh khó khăn trong việc loại bỏ hoàn toàn các nhóm tội phạm mạng.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …