Bukti baru telah muncul bahwa ransomware REvil yang terkenal itu (terbuka di tab baru) kembali dengan sepenuh hati, karena sampel yang baru ditemukan menunjukkan fakta bahwa grup tersebut sekarang tidak pandang bulu dalam memilih targetnya.
Peneliti keamanan siber dari Secureworks menganalisis malware baru (terbuka di tab baru) sampel baru-baru ini diunggah ke VirusTotal dan sampai pada kesimpulan bahwa siapa pun yang berada di belakangnya mungkin memiliki akses ke kode sumber REvil di masa lalu.
Hal itu membuat para peneliti percaya bahwa ini mungkin adalah kelompok yang sama yang operasinya ditutup pada akhir tahun 2021.
Tidak ada yang terlarang lagi
“Identifikasi beberapa sampel yang berisi modifikasi berbeda dan kurangnya versi baru resmi menunjukkan bahwa REvil sedang dalam pengembangan aktif,” kata para peneliti dalam posting blog yang mengumumkan berita tersebut.
Situs kebocoran REvil baru baru-baru ini bermunculan. Sampel terbaru ini, serta sampel lama, ditemukan pada Oktober tahun lalu, semuanya menunjukkan REvil aktif kembali.
Dalam versi baru ini, peneliti melihat peningkatan dalam logika dekripsi string, membuatnya bergantung pada argumen baris perintah baru. Kunci publik berkode keras telah diperbarui, serta lokasi penyimpanan konfigurasi dan format data untuk pelacakan afiliasi.
Tapi mungkin perubahan terbesar adalah penghapusan daerah terlarang. Versi REvil yang lebih lama akan memeriksa lokasi geografis titik akhir yang terinfeksi, dan jika memenuhi kriteria tertentu (misalnya, jika berada di komunitas berbahasa Rusia), tidak akan diaktifkan.
Ini tidak lagi terjadi.
“Sampel REvil Oktober 2021 menghapus kode yang memverifikasi ransomware tidak dijalankan pada sistem yang berada di wilayah terlarang,” tulis para peneliti CTU. “Penghapusan ini memungkinkan REvil untuk mengeksekusi sistem apa pun terlepas dari lokasinya.”
REvil awalnya ditutup setelah operasi gabungan AS-Rusia, dengan Rusia menangkap lebih dari selusin anggota.
Ketika invasi Rusia ke Ukraina memperburuk hubungan antara Rusia dan AS, pemerintah AS terus maju dan secara sepihak menutup saluran komunikasi keamanan siber dengan Moskow. Akibatnya, AS pun menarik diri dari proses negosiasi terkait REvil.
Sebelum analisis Secureworks, perusahaan keamanan siber lainnya memperingatkan kebangkitan REvil, termasuk Avast, Advanced Intel, R3MRUM, dan lainnya.
Melalui: Daftar (terbuka di tab baru)