De beruchte ransomware-operatie die bekend staat als REvil (ook bekend als Sodin of Sodinokibi) is hervat na zes maanden van inactiviteit, zo blijkt uit een analyse van nieuwe ransomware-samples.
“Analyse van deze voorbeelden geeft aan dat de ontwikkelaar toegang heeft tot de broncode van REvil, wat de kans vergroot dat de bedreigingsgroep opnieuw is opgedoken”, onderzoekers van Secureworks Counter Threat Unit (CTU) zei in een maandag gepubliceerd rapport.
“De identificatie van meerdere samples met verschillende aanpassingen in zo’n korte tijd en het ontbreken van een officiële nieuwe versie geeft aan dat REvil opnieuw volop in ontwikkeling is.”
REvil, een afkorting van Ransomware Evil, is een ransomware-as-a-service (RaaS)-schema en wordt toegeschreven aan een in Rusland gevestigde/sprekende groep die bekend staat als Gouden Southfieldontstaan net als GandCrab activiteit daalde en de laatste kondigden hun pensionering.
Het is ook een van de eerste groepen die het dubbele afpersingsschema toepassen, waarbij gestolen gegevens van inbraken worden gebruikt om extra hefboomwerking te genereren en slachtoffers te dwingen te betalen.
operationeel sinds 2019haalde de ransomwaregroep vorig jaar de krantenkoppen met hun spraakmakende aanvallen op JBS en Kaseya, wat de bende ertoe bracht om in oktober 2021 formeel de winkel te sluiten nadat een wetshandhavingsactie de serverinfrastructuur had gekaapt.
Eerder deze januari werden verschillende leden van het cybercriminaliteitssyndicaat gearresteerd door de Russische Federale Veiligheidsdienst (FSB) in de nasleep van invallen op 25 verschillende locaties in het land.
De schijnbare heropleving komt als REvil’s dataleksite in het TOR-netwerk begon met omleiden naar een nieuwe host op 20 april, waarbij cyberbeveiligingsbedrijf Avast een week later bekendmaakte dat het had geblokkeerd een ransomware-monster in het wild “dat eruitziet als een nieuwe Sodinokibi / REvil-variant.”
Hoewel bleek dat het monster in kwestie geen bestanden versleutelde en alleen een willekeurige extensie toevoegt, heeft Secureworks dit toegeschreven aan een programmeerfout die is geïntroduceerd in de functionaliteit die de naam van bestanden die worden versleuteld hernoemt.
Bovendien is de nieuwe monsters ontleed door het cyberbeveiligingsbedrijf – met een tijdstempel van 11 maart 2022 – bevatten opmerkelijke wijzigingen in de broncode die het onderscheiden van een ander REvil-artefact van oktober 2021.
Dit omvat updates van de tekenreeksdecoderingslogica, de configuratieopslaglocatie en de hardgecodeerde openbare sleutels. Ook herzien zijn de Tor-domeinen die worden weergegeven in de losgeldbrief, verwijzend naar dezelfde sites die vorige maand live gingen –
- REvil-leksite: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]ui
- REvil losgeld betaalsite: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]ui
De heropleving van REvil houdt waarschijnlijk ook verband met de voortdurende invasie van Oekraïne door Rusland, waarna de VS zich terugtrokken uit een voorgestelde gezamenlijke samenwerking tussen de twee landen om kritieke infrastructuur te beschermen.
De ontwikkeling is in ieder geval het zoveelste teken dat ransomware-actoren uit elkaar gaan om zich te hergroeperen en onder een andere naam te hergroeperen en verder te gaan waar ze waren gebleven, wat de moeilijkheid onderstreept om cybercriminele groepen volledig uit te roeien.
