Νέα δείγματα κακόβουλου λογισμικού και ένας νέος ιστότοπος διαρροής που βασίζεται σε Tor υποδηλώνουν ότι η λειτουργία του ransomware REvil έχει συνεχιστεί.
Η Secureworks, η οποία παρακολουθεί την ομάδα πίσω από το REvil ως Gold Southfield, διεξήγαγε μια ανάλυση δειγμάτων κακόβουλου λογισμικού που προφανώς δημιουργήθηκαν τον Μάρτιο και τον Απρίλιο και διαπίστωσε ότι ο προγραμματιστής πιθανότατα έχει πρόσβαση στον αρχικό πηγαίο κώδικα REvil.
Η εταιρεία κυβερνοασφάλειας Avast ανέφερε στα τέλη Απριλίου ότι είχε μπλοκάρει ένα δείγμα ransomware που φαινόταν να είναι μια νέα παραλλαγή του REvil, αλλά είπε ότι δεν κρυπτογραφούσε αρχεία και αντίθετα πρόσθεσε μόνο μια τυχαία επέκταση σε αρχεία. Η Secureworks είπε ότι αυτό ήταν ένα σφάλμα που εισήχθη από τον προγραμματιστή κακόβουλου λογισμικού και σημείωσε ότι το ransomware είναι ακόμα υπό ενεργό ανάπτυξη.
Το Secureworks τη Δευτέρα παρουσίασε λεπτομερώς τις αλλαγές που παρατηρήθηκαν σε πρόσφατα δείγματα σε σύγκριση με προηγούμενες εκδόσεις του REvil.
Ο τομέας που χρησιμοποιείται από τον παλιό ιστότοπο διαρροής του REvil ανακατευθύνει τους επισκέπτες σε έναν νέο τομέα, όπου παρατίθενται περισσότεροι από 250 οργανισμοί που έχουν χτυπηθεί, συμπεριλαμβανομένων πολλών από τους παλιούς στόχους του REvil και όσων φαίνονται νέα θύματα. Ο ιστότοπος φιλοξενεί δεδομένα που φέρονται να έχουν κλαπεί από θύματα, καθώς και συνδέσμους προς ιστότοπους τρίτων που φιλοξενούν κλεμμένα δεδομένα.
Το νέο σημείωμα λύτρων που τέθηκε σε παραβιασμένα συστήματα περιλαμβάνει συνδέσμους που παραπέμπουν στους νέους τομείς .onion.
Το ransomware REvil, γνωστό και ως Sodinokibi, εμφανίστηκε το 2019 και έχει περιγραφεί ως διάδοχος του GandCrab.
Τον Ιούλιο του 2021, περίπου δύο εβδομάδες αφότου η ομάδα εγκλήματος στον κυβερνοχώρο στόχευσε την Kaseya και ζήτησε λύτρα 70 εκατομμυρίων δολαρίων, ο ιστότοπος της REvil τέθηκε εκτός σύνδεσης. Τον Οκτώβριο, διακομιστές Tor που σχετίζονται με τη συμμορία ransomware REvil κατασχέθηκαν σε μια επιχείρηση hack-back σε πολλές χώρες. Ένα από τα μέλη της ομάδας είχε δημοσιεύσει ένα αποχαιρετιστήριο μήνυμα στο blog τους, επιβεβαιώνοντας ότι ο διακομιστής τους είχε παραβιαστεί.
Στα τέλη Νοεμβρίου, ανακοινώθηκε ότι οι υπηρεσίες επιβολής του νόμου σε πολλές χώρες είχαν συλλάβει άτομα που φέρονται να συνδέονται με τις επιχειρήσεις REvil. Τον Ιανουάριο του 2022, οι ρωσικές αρχές ανακοίνωσαν ότι — κατόπιν αιτήματος των Ηνωμένων Πολιτειών — μέλη της ομάδας χάκερ είχαν κατηγορηθεί και η υποδομή που χρησιμοποιούσαν είχε «εκκαθαριστεί».
Ωστόσο, λίγες εβδομάδες αργότερα, μια εταιρεία ασφαλείας είπε ότι εξακολουθούσε να βλέπει εμφυτεύματα REvil, υποδηλώνοντας ότι η ομάδα δεν είχε εξαφανιστεί εντελώς.
Νέα δείγματα κακόβουλου λογισμικού φαίνεται να αναπτύχθηκαν τον Μάρτιο και τον Απρίλιο και η υποδομή του ομίλου φαίνεται να έχει ξαναρχίσει τη δραστηριότητα τον Απρίλιο.