No Comments

Neue REvil-Beispiele deuten darauf hin, dass die Ransomware-Gang nach Monaten der Inaktivität zurück ist

 

Die berüchtigte Ransomware-Operation namens REvil (alias Sodin oder Sodinokibi) wurde nach sechs Monaten Inaktivität wieder aufgenommen, wie eine Analyse neuer Ransomware-Samples ergab.

„Die Analyse dieser Proben zeigt, dass der Entwickler Zugriff auf den Quellcode von REvil hat, was die Wahrscheinlichkeit verstärkt, dass die Bedrohungsgruppe wieder aufgetaucht ist“, so Forscher der Secureworks Counter Threat Unit (CTU) sagte in einem am Montag veröffentlichten Bericht.

“Die Identifizierung mehrerer Muster mit unterschiedlichen Modifikationen in so kurzer Zeit und das Fehlen einer offiziellen neuen Version zeigt, dass REvil erneut intensiv weiterentwickelt wird.”

REvil, kurz für Ransomware Evil, ist ein Ransomware-as-a-Service (RaaS)-Programm und wird einer in Russland ansässigen/sprechenden Gruppe namens Gold Southfield, die ebenso wie GandCrab gingen zurück und letztere kündigten ihren Rücktritt an.

Es ist auch eine der frühesten Gruppen, die das System der doppelten Erpressung einführt, bei dem gestohlene Daten von Eindringlingen verwendet werden, um zusätzliche Druckmittel zu erzeugen und die Opfer zur Zahlung zu zwingen.

Die Ransomware seit 2019 in Betrieb Gruppe machte letztes Jahr Schlagzeilen wegen ihrer hochkarätigen Angriffe auf JBS und  Kaseya und veranlasste die Bande, den Laden im Oktober 2021 nach einem Strafverfolgungsmaßnahmen entführten seine Serverinfrastruktur.

Anfang Januar mehrere Mitglieder Mitglieder des Cybercrime-Syndikats wurden vom russischen Föderalen Sicherheitsdienst (FSB) nach Razzien festgenommen, die an 25 verschiedenen Orten im Land durchgeführt wurden.

Das offensichtliche Wiederaufleben kommt, als die Datenleck-Site von REvil im TOR-Netzwerk mit der Umleitung begann einen neuen Host am 20. April, wobei das Cybersicherheitsunternehmen Avast eine Woche später bekannt gab, dass es blockiert eine Ransomware-Probe in freier Wildbahn, “die wie eine neue Sodinokibi-/REvil-Variante aussieht”.

Während festgestellt wurde, dass das fragliche Beispiel Dateien nicht verschlüsselt und nur eine zufällige Erweiterung hinzufügt, hat Secureworks dies einem Programmierfehler zugeschrieben, der in die Funktionalität eingeführt wurde, die verschlüsselte Dateien umbenennt.

Darüber hinaus wurden die neuen Beispiele von der Cybersicherheitsfirma analysiert — die einen Zeitstempel vom 11. März 2022 tragen – bemerkenswerte Änderungen am Quellcode enthalten, die es von einem anderen REvil-Artefakt vom Oktober 2021 unterscheiden.

Dazu gehören Aktualisierungen der String-Entschlüsselungslogik, des Konfigurationsspeicherorts und der hartcodierten öffentlichen Schlüssel. Ebenfalls überarbeitet wurden die in der Lösegeldforderung angezeigten Tor-Domains, die auf dieselben Websites verweisen, die letzten Monat live gegangen sind –

  • REvil-Leak-Website: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
  • REvil-Lösegeldzahlungsseite: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion

Die Wiederbelebung von REvil hängt wahrscheinlich auch mit der anhaltenden russischen Invasion in der Ukraine zusammen, woraufhin die USA von einem Vorschlag zurücktraten gemeinsame Zusammenarbeit zwischen den beiden Ländern zum Schutz kritischer Infrastrukturen.

Wenn überhaupt, ist die Entwicklung ein weiteres Zeichen dafür, dass Ransomware-Akteure sich auflösen, nur um sich unter einem anderen Namen neu zu gruppieren und umzubenennen und genau dort weiterzumachen, wo sie aufgehört haben, was die Schwierigkeit unterstreicht, cyberkriminelle Gruppen vollständig auszurotten.

 

Source: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.