Ha surgido nueva evidencia de que el notorio ransomware REvil está de vuelta con fuerza, ya que las muestras recién descubiertas indican que el grupo ahora es indiscriminado al elegir sus objetivos.
Los investigadores de ciberseguridad de Secureworks analizaron nuevas muestras de malware cargadas recientemente en VirusTotal y llegaron a la conclusión de que quienquiera que estuviera detrás probablemente tuvo acceso al código fuente de REvil en el pasado.
Esto llevó a los investigadores a creer que este es probablemente el mismo grupo cuyas operaciones se cerraron a fines de 2021.
Ya nada esta prohibido
"La identificación de múltiples muestras que contienen diferentes modificaciones y la ausencia de una nueva versión oficial indican que REvil está en desarrollo", dijeron los investigadores en una publicación de blog anunciando la noticia.
Recientemente ha surgido un nuevo sitio de fuga de REvil. Esta muestra más reciente, junto con una muestra más antigua, descubierta en octubre del año pasado, indican que REvil está activo nuevamente.
En estos nuevos lanzamientos, los investigadores detectaron actualizaciones en la lógica de descifrado de cadenas, lo que hizo que se basara en un nuevo argumento de línea de comandos. Se actualizaron las claves públicas codificadas, junto con la ubicación de almacenamiento de configuración y el formato de datos para el seguimiento de afiliados.
Pero quizás el mayor cambio sea la eliminación de las regiones prohibidas. Las versiones anteriores de REvil verificaban la ubicación geográfica del terminal infectado y, si cumplía ciertos criterios (por ejemplo, si estaba en una comunidad de habla rusa), no se activaba.
Este ya no es el caso.
"La muestra REvil de octubre de 2021 eliminó el código que verificaba que el ransomware no se estaba ejecutando en un sistema que residía en una región prohibida", escribieron los investigadores de CTU. "Esta eliminación permitió que REvil se ejecutara en cualquier sistema, independientemente de la ubicación".
REvil se cerró inicialmente después de una operación conjunta de Estados Unidos y Rusia, en la que los rusos arrestaron a más de una docena de miembros.
Поскольку вторжение России в Украину ухудшило отношения между Россией и Соединенными Штатами, правительство США пошло дальше и в одностороннем порядке закрыло свой канал связи по кибербезопасности с Москвой. В результате США также вышли из переговорного процесса по REvil.
Antes del análisis de Secureworks, otras empresas de ciberseguridad advirtieron sobre el resurgimiento de REvil, incluidas Avast, Advanced Intel, R3MRUM y otras.
Через: Реестр