La famigerata operazione ransomware REvil è tornata in mezzo alle crescenti tensioni tra Russia e Stati Uniti, con una nuova infrastruttura e un crittografo modificato che consente attacchi più mirati.
Nel mese di ottobre, la banda REvil ransomware ha chiuso dopo che un’operazione di applicazione della legge ha dirottato i loro server Tor, seguita da arresti di membri da parte delle forze dell’ordine russe.
Tuttavia, dopo l’invasione dell’Ucraina, la Russia ha dichiarato che gli Stati Uniti si sono ritirati dal processo di negoziazione riguardante la banda REvil e hanno chiuso i canali di comunicazione.
I siti Tor di REvil tornano in vita
Poco dopo, la vecchia infrastruttura Tor di REvil ha iniziato a funzionare di nuovo, ma invece di mostrare i vecchi siti web, hanno reindirizzato i visitatori agli URL di una nuova operazione ransomware senza nome.
Mentre questi siti non assomigliavano affatto ai precedenti siti web di REvil, il fatto che la vecchia infrastruttura stesse reindirizzando ai nuovi siti indicava che REvil stava probabilmente operando di nuovo. Inoltre, questi nuovi siti contenevano un mix di nuove vittime e dati rubati durante i precedenti attacchi di REvil.
Mentre questi eventi indicavano fortemente che REvil era risorto, i siti Tor avevano anche precedentemente mostrato un messaggio a novembre che affermava che “REvil è cattivo“.
Questo accesso ai siti Tor significava che altri attori della minaccia o le forze dell’ordine avevano accesso ai siti TOR di REvil, quindi i siti stessi non erano una prova abbastanza forte del ritorno della banda.
L’unico modo per sapere con certezza se REvil era tornato era quello di trovare un campione del crittografo ransomware e analizzarlo per determinare se era stato patchato o compilato dal codice sorgente.
Un campione dell’encryptor della nuova operazione ransomware è stato finalmente scoperto questa settimana dal ricercatore di AVAST Jakub Kroustek e ha confermato i legami della nuova operazione con REvil.
Mentre alcune operazioni ransomware stanno usando l’encryptor di REvil, tutte usano eseguibili patchati piuttosto che avere accesso diretto al codice sorgente della banda.
Il ricercatore di sicurezza R3MRUM ha twittato che il campione REvil ha avuto il suo numero di versione cambiato in 1.0, ma è una continuazione dell’ultima versione, 2.08, rilasciata da REvil prima di chiudere.
Non è sorprendente che REvil si sia riproposto con la nuova operazione, soprattutto con il declino delle relazioni tra USA e Russia. Tuttavia, quando le operazioni di ransomware riprendono, di solito lo fanno per eludere le forze dell’ordine
