Một mẫu của một ransomware thu được bởi một nhà nghiên cứu bảo mật cho thấy rằng REvil thực sự đã trở lại.
Nhóm này đã ngừng hoạt động vào tháng 10 năm ngoái sau khi mất quyền kiểm soát các trang Tor và một số thành viên bị chính quyền Nga bắt giữ.
Một hoạt động mới được phát hiện vào tháng Tư
REvil, được biết đến đặc biệt với cuộc tấn công vào công ty Kaseya, dường như đã trở lại các hoạt động của mình, một vài tháng sau khi chính quyền Nga bắt giữ các thành viên của mình. Kể từ cuối tháng 4, cơ sở hạ tầng Tor của nhóm ransomware đã được khởi động lại và địa chỉ .onion của trang cũ đang chuyển hướng đến một địa chỉ mới. Các nạn nhân cũ của REvil được liệt kê trên trang web mới này, cùng với hai người mới dường như đã được nhắm mục tiêu bởi hoạt động mới.
Tuy nhiên, danh tính của những người đứng sau địa điểm mới này vẫn chưa được xác định. Kể từ khi kết thúc hoạt động của REvil vào tháng 10 năm ngoái, trang web của nhóm đã có những thay đổi. Vào tháng 11, một bài đăng nói rằng “ REvil thật tệ đã được thêm vào một số trang của trang web mà không ai biết ai đã thực hiện sửa đổi. Do đó, việc chuyển hướng đến một địa chỉ mới không phải là bằng chứng đầy đủ về sự trở lại của REvil, vì sau đó người ta nghi ngờ rằng những người không phải là thành viên của hoạt động đã truy cập vào các trang web này. Các nhà nghiên cứu đang chờ đợi để lấy một mẫu ransomware để xác nhận hoặc phủ nhận sự quay trở lại của tin tặc.
Mẫu ransomware xác nhận sự trở lại của REvil
Vào ngày 29 tháng 4, Jakub Kroustek, giám đốc nghiên cứu phần mềm độc hại tại Avast, thông báo rằng họ đã thu được một mẫu ransomware có vẻ là một biến thể của ransomware được REvil sử dụng trước đó. Khám phá này xác nhận rằng các tin tặc thực sự đã trở lại, vì mọi thứ đều chỉ ra rằng những người tạo ra phiên bản mới này có mã nguồn của ransomware của nhóm.
Tuy nhiên, các cộng sự của REvil không có quyền truy cập vào mã nguồn của ransomware được sử dụng trong các hoạt động, điều này cho thấy rằng ít nhất một thành viên trong nhóm sẽ có liên quan. Theo FellowSecurity, phỏng vấn bởi BleepingComputerđó sẽ là một trong những nhà phát triển chính của REvil, người sẽ đứng sau hoạt động mới.
Biến thể mới này có một số đặc điểm. Mã đã được sửa đổi để cho phép nhiều cuộc tấn công có chủ đích hơn, với khả năng chỉ định số nhận dạng nạn nhân. Tuy nhiên, hiện tại, ransomware không hoạt động và chỉ thêm phần mở rộng ngẫu nhiên vào tên tệp mà không thực sự mã hóa chúng.
Các manh mối khác liên kết ransomware này với REvil: ghi chú đòi tiền chuộc tương tự như ghi chú được sử dụng trước đây và khi nạn nhân đăng nhập vào trang web mới, trang được trình bày gần giống với trang cũ. Trong phần này, các tin tặc tự giới thiệu mình là “Sodinokibi”, một trong những tên của REvil.
Bất chấp tất cả những manh mối này, như đã lưu ý bởi BleepingComputer, thật bất thường khi một nhóm tin tặc công khai về sự trở lại của họ. Tuy nhiên, có thể các thành viên REvil sẽ lợi dụng sự suy giảm trong quan hệ giữa Nga và Hoa Kỳ sau cuộc chiến ở Ukraine để hồi sinh hoạt động của họ.
Về cùng một chủ đề:
Phần mềm độc hại bí ẩn của Nga này sử dụng micrô của điện thoại thông minh của bạn mà bạn không biết
Nguồn : BleepingComputer
