Se upp, REvil ransomware är tillbaka

55 2 minutes read
Ransomware
Ransomware

Ett prov av en ransomware som erhållits av en säkerhetsforskare tyder på att REvil verkligen är tillbaka.

Gruppen upphörde med sin verksamhet i oktober förra året efter att ha förlorat kontrollen över sina Tor-sajter och flera av dess medlemmar arresterades av ryska myndigheter.

En ny operation upptäcktes i april

REvil, särskilt känd för sin attack mot företaget Kaseya, verkar ha återupptagit sin verksamhet, några månader efter att de ryska myndigheterna grep sina medlemmar. Sedan slutet av april har ransomware-gruppens Tor-infrastruktur startats om, och .onion-adressen för dess gamla sajt omdirigeras till en ny adress. Tidigare REvil-offer är listade på den här nya webbplatsen, tillsammans med två nya som verkar ha blivit måltavla för den nya operationen.

Men identiteten på personerna bakom denna nya webbplats var ännu inte fastställd. Sedan REvils verksamhet avslutades i oktober förra året hade koncernens sajt redan genomgått förändringar. I november kom ett inlägg där det stod att ” REvil är dåligt hade lagts till på flera sidor på sajten, utan att det var känt vem som hade gjort ändringen. Omdirigeringen till en ny adress var därför inte ett tillräckligt bevis på REvils återkomst, eftersom man då misstänkte att andra än verksamhetens medlemmar hade tillgång till dessa sajter. Forskarna väntade på att få ett prov av ett ransomware för att bekräfta eller förneka att hackarna återvände, vilket nu är fallet.

Ransomware-prov bekräftar REvils återkomst

Den 29 april meddelade Jakub Kroustek, chef för malware research på Avast, att de hade fått ett ransomware-prov som verkar vara en variant av ransomware som tidigare använts av REvil. Denna upptäckt bekräftar att hackarna verkligen är tillbaka, eftersom allt tyder på att skaparna av denna nya version har källkoden för gruppens ransomware.

REvils medarbetare har dock inte tillgång till källkoden för ransomware som används i operationerna, vilket tyder på att minst en medlem i gruppen skulle vara inblandad. Enligt FellowSecurity, intervjuad av Bleeping Computerskulle det vara en av REvils huvudutvecklare som skulle ligga bakom den nya verksamheten.

Denna nya variant har flera särdrag. Koden har modifierats för att tillåta mer riktade attacker, med möjlighet att ange offeridentifierare. Men för tillfället fungerar inte ransomwaren och lägger bara till ett slumpmässigt tillägg till filnamnen, utan att faktiskt kryptera dem.

Andra ledtrådar länkar denna ransomware till REvil: lösennotan liknar den som användes tidigare, och när ett offer väl loggar in på den nya webbplatsen är sidan som presenteras nästan identisk med den på den gamla webbplatsen. På den här presenterar hackarna sig som “Sodinokibi”, ett av namnen på REvil.

Trots alla dessa ledtrådar, som noterats av Bleeping Computer, det är ovanligt att en grupp hackare är så offentliga om sin comeback. Ändå är det möjligt att REvil-medlemmar kommer att dra nytta av nedgången i relationerna mellan Ryssland och USA efter kriget i Ukraina för att återuppliva sina operationer.

Om samma ämne:
Denna mystiska ryska skadliga programvara använder mikrofonen på din smartphone utan din vetskap

Källa: Bleeping Computer

Tags
55 2 minutes read

Relaterade Artiklar

Google Chrome

Google Chrome kan snart göra det möjligt att kommentera webbsidor

GNOME 40

Linux: GNOME 40 går in i den slutliga versionen

DirectX 11 download

DirectX nedladdning, uppdatering, installation: Windows 11/10

Log into Discord via QR code with a mobile device

Hur man loggar in på Discord med QR-kod

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button