Depois de algum tempo sem operação, o ransomware REvil está de volta em meio a crescentes tensões entre a Rússia e os EUA. Além disso, agora, o ransomware conta com uma nova infraestrutura e um criptografador modificado permitindo ataques mais direcionados, aponta o BleepingComputer.
Encerramento e volta das operações do Ransomware REvil
Em outubro, a gangue do ransomware REvil foi encerrada depois que uma operação de aplicação da lei sequestrou seus servidores Tor, seguida de prisões de membros pelas autoridades russas. No entanto, após a invasão da Ucrânia, a Rússia afirmou que os EUA se retiraram do processo de negociação sobre a gangue REvil e fecharam os canais de comunicação.
Logo depois, a antiga infraestrutura do REvil Tor começou a operar novamente, mas em vez de mostrar os sites antigos, eles redirecionavam os visitantes para URLs para uma nova operação de ransomware sem nome. Embora esses sites não se parecessem com os sites anteriores do REvil, o fato de que a infraestrutura antiga estava redirecionando para os novos sites indicava que o REvil provavelmente estava operando novamente. Além disso, esses novos sites continham uma mistura de novas vítimas e dados roubados durante ataques REvil anteriores, aponta o BleepingComputer.
Embora esses eventos indicassem fortemente que o REvil foi renomeado como a nova operação sem nome, os sites do Tor também exibiram anteriormente uma mensagem em novembro afirmando que “REvil é ruim”.
Esse acesso aos sites do Tor significava que outros agentes de ameaças ou policiais tinham acesso aos sites TOR do REvil, então os próprios sites não eram provas suficientemente fortes do retorno da gangue.
A única maneira de saber com certeza se o REvil voltou era encontrar uma amostra do criptografador de ransomware e analisá-lo para determinar se ele foi corrigido ou compilado a partir do código-fonte. E, agora, uma amostra do criptografador da nova operação de ransomware foi finalmente descoberta pela pesquisa da AVAST, Jakub Kroustek, e confirmou os laços da nova operação com o REvil.
Amostra de ransomware confirma retorno
Embora algumas operações de ransomware estejam usando o criptografador do REvil, todas elas usam executáveis ??corrigidos em vez de ter acesso direto ao código-fonte da gangue. No entanto, o BleepingComputer foi informado por vários pesquisadores de segurança e analistas de malware que a amostra REvil descoberta usada pela nova operação é compilada a partir do código-fonte e inclui novas alterações.
O pesquisador de segurança R3MRUM twittou que a amostra do REvil teve seu número de versão alterado para 1.0, mas é uma continuação da última versão, 2.08, lançada pelo REvil antes de ser encerrada.
Em discussão com a BleepingComputer, o pesquisador disse que não conseguiu explicar por que o criptografador não criptografa arquivos, mas acredita que foi compilado a partir do código-fonte. O CEO avançado da Intel, Vitali Kremez, também fez engenharia reversa da amostra REvil neste fim de semana e confirmou ao BleepingComputer que ela foi compilada a partir do código-fonte em 26 de abril e não foi corrigida.
Kremez disse ao BleepingComputer que a nova amostra REvil inclui um novo campo de configuração, ‘accs’, que contém credenciais para a vítima específica que o ataque está mirando. Ele acredita que a opção de configuração ‘accs’ é usada para evitar a criptografia em outros dispositivos que não contêm as contas e domínios do Windows especificados, permitindo ataques altamente direcionados.
Além disso, embora existam algumas diferenças entre os sites antigos do REvil e a operação renomeada, uma vez que a vítima faz login no site, é quase idêntico aos originais, e os agentes da ameaça afirmam ser ‘Sodinokibi’.
Via: BleepingComputer
