Ny malware bekræfter, at ransomware-banden er tilbage. Den berygtede REvil ransomware-bande er vendt tilbage midt i stigende spændinger mellem Rusland og USA, med ny infrastruktur og en modificeret kryptering, der giver mulighed for mere målrettede angreb.
I oktober lukkede REvil ned, efter at en retshåndhævende operation kaprede deres Tor-servere, efterfulgt af anholdelser af medlemmer af russisk retshåndhævelse.
Efter invasionen af Ukraine erklærede Rusland imidlertid, at USA havde trukket sig ud af forhandlingsprocessen vedrørende REvil-banden og lukkede kommunikationskanaler.
REvils Tor-websteder genopstår
Den gamle REvil Tor-infrastruktur begyndte at fungere igen, men i stedet for at vise de gamle websteder, bliver de besøgende omdirigeret til url’er til en ny unavngiven ransomware-operation.
Mens disse websteder ikke lignede REvils tidligere websteder, indikerede det faktum, at den gamle infrastruktur omdirigerede til de nye websteder, at REvil sandsynligvis fungerede igen. Endvidere er disse nye websteder en blanding af nye ofre og data stjålet under tidligere REvil-angreb.
Mens disse begivenheder stærkt indikerer REvil rebranded som den nye unavngivne operation, havde Tor-webstederne også tidligere vist en meddelelse i november om, at “REvil er dårlig.” Denne adgang til Tor-webstederne betød, at andre hackere eller retshåndhævende myndigheder havde adgang til REvils TOR-websteder, så webstederne selv var ikke stærke nok beviser for bandens tilbagevenden.
Den eneste måde at vide med sikkerhed, om REvil var tilbage, var at finde noget af ransomware-krypteringen og analysere den for at afgøre, om den blev lappet eller kompileret fra kildekoden. En prøve af den nye ransomware operation blev endelig opdaget i denne uge af AVAST forskning Jakub Kroustek og har bekræftet den nye operation bånd til REvil.
Malwareware bekræfter returnering
Mens et par ransomware-operationer bruger REvils krypteringsforekomst, bruger de alle patchede eksekverbare filer i stedet for at have direkte adgang til bandens kildekode. Men den opdagede Revil-malware, der bruges af den nye operation, er kompileret fra kildekoden og inkluderer nye ændringer. Analytikeren sagde til Bleepingcomputer, at han ikke kunne forklare, hvorfor krypteringsforekomst ikke krypterer filer, men mener, at den blev kompileret fra kildekoden.
“Ja, min vurdering er, at hackeren har kildekoden,”
CEO Vitali Kremez reverse-engineered har også bekræftet over for BleepingComputer, at den blev kompileret fra kildekoden den 26. april og ikke blev patch’et.
Kremez fortalte BleepingComputer, at den nye REvil-malware indeholder et nyt konfigurationsfelt, ‘accs’, som indeholder legitimationsoplysninger til det specifikke offer, som angrebet er rettet mod. Kremez mener, at konfigurationsindstillingen ‘accs’ bruges til at forhindre kryptering på andre enheder, der ikke indeholder de angivne konti og Windows-domæner, hvilket giver mulighed for meget målrettede angreb.
Ud over indstillingen ‘accs’ har den nye REvil-malware konfiguration ændret SUB- og PID-indstillinger, der bruges som kampagne- og tilknyttede identifikatorer, til at bruge længere GUID-type værdier, såsom ‘3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4.’ BleepingComputer testede også ransomware-prøven, og selvom den ikke krypterede, det skabte løsesumsnoten, som er identisk med Revil’s gamle løsesumsnoter.
Desuden, mens der er nogle forskelle mellem de gamle REvil-websteder og den relancerede operation, når et offer logger ind på webstedet, er det næsten identisk med originalerne, og hackerne hævder at være ‘Sodinokibi,’ som vist nedenfor.
Mens den oprindelige offentlige REvil-repræsentant kendt som ‘Ukendt’ stadig mangler, fortalte FellowSecurity efterretningsanalytiker til BleepingComputer, at en af REvils oprindelige kerneudviklere, der var en del af det gamle team, relancerede ransomware-operationen. Da dette var en kerneudvikler, ville det være fornuftigt, at de også havde adgang til den komplette REvil-kildekode og potentielt Tor private nøgler til de gamle websteder.
Det er ikke overraskende, at REvil er relanceret under den nye operation, især med de faldende relationer mellem USA og Rusland. Men når ransomware-operationer relancerer, gør de det typisk for at undgå retshåndhævelse eller sanktioner, der forhindrer betaling af løsepenge. Derfor er det usædvanligt, at REvil er så offentlige vedrørende deres tilbagevenden, snarere end at forsøge at undgå afsløring, som vi har set i så mange andre ransomware-relanceringer.
Kilde: Bleeping computers