REvil Ransomware

Sampel REvil Baru Menunjukkan Geng Ransomware Kembali Setelah Berbulan-bulan Tidak Aktif

Operasi ransomware terkenal yang dikenal sebagai REvil (alias Sodin atau Sodinokibi) telah dilanjutkan setelah enam bulan tidak aktif, analisis sampel ransomware baru telah terungkap.

“Analisis sampel ini menunjukkan bahwa pengembang memiliki akses ke kode sumber REvil, memperkuat kemungkinan bahwa kelompok ancaman telah muncul kembali,” peneliti dari Secureworks Counter Menace Unit (CTU) dikatakan dalam laporan yang diterbitkan Senin.

“Identifikasi beberapa sampel dengan berbagai modifikasi dalam waktu singkat dan kurangnya versi baru resmi menunjukkan bahwa REvil sedang dalam pengembangan aktif yang berat sekali lagi.”

REvil, kependekan dari Ransomware Evil, adalah skema ransomware-as-a-service (RaaS) dan dikaitkan dengan grup berbasis/berbahasa Rusia yang dikenal sebagai Lapangan Selatan Emasmuncul sama seperti GandCrab aktivitas menurun dan yang terakhir mengumumkan pensiun mereka.

Ini juga salah satu kelompok paling awal yang mengadopsi skema pemerasan ganda di mana information yang dicuri dari penyusupan digunakan untuk menghasilkan pengaruh tambahan dan memaksa korban untuk membayar.

operasional sejak 2019grup ransomware menjadi berita utama tahun lalu karena serangan tingkat tinggi mereka terhadap JBS dan Kaseyamendorong geng untuk secara resmi menutup toko pada Oktober 2021 setelah a tindakan penegakan hukum membajak infrastruktur servernya.

Awal Januari ini, beberapa anggota milik sindikat kejahatan dunia maya ditangkap oleh Layanan Keamanan Federal Rusia (FSB) setelah penggerebekan yang dilakukan di 25 lokasi berbeda di negara itu.

Kebangkitan yang nyata datang sebagai situs kebocoran information REvil di jaringan TOR mulai mengalihkan ke host baru pada 20 April, dengan perusahaan keamanan siber Avast mengungkapkan seminggu kemudian bahwa mereka telah diblokir sampel ransomware di alam liar “yang terlihat seperti varian Sodinokibi / REvil baru.”

Sementara sampel yang dipermasalahkan ditemukan tidak mengenkripsi file dan hanya menambahkan ekstensi acak, Secureworks telah menghubungkannya dengan kesalahan pemrograman yang diperkenalkan dalam fungsi yang mengganti nama file yang sedang dienkripsi.

Selain itu, yang baru sampel dibedah oleh perusahaan keamanan siber — yang membawa stempel waktu 11 Maret 2022 — memasukkan perubahan penting pada kode sumber yang membedakannya dari artefak REvil lain tertanggal Oktober 2021.

Ini termasuk pembaruan logika dekripsi string, lokasi penyimpanan konfigurasi, dan kunci publik hard-coded. Juga direvisi adalah area Tor yang ditampilkan dalam catatan tebusan, merujuk ke situs yang sama yang ditayangkan bulan lalu –

  • Situs kebocoran REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]Bawang
  • Situs pembayaran tebusan REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]Bawang

Kebangkitan REvil juga kemungkinan terkait dengan invasi Rusia yang sedang berlangsung ke Ukraina, setelah itu AS mundur dari kerjasama yang diusulkan antara kedua negara untuk menjaga infrastruktur penting.

Jika ada, perkembangannya adalah tanda lain bahwa pelaku ransomware bubar hanya untuk berkumpul kembali dan mengubah citra dengan nama yang berbeda dan melanjutkan dari tempat mereka tinggalkan, menggarisbawahi kesulitan dalam membasmi kelompok penjahat dunia maya sepenuhnya.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts