باج افزار REvil بازگشته است : نمونه های تازه بدافزار نشان میدهد که فعالیت گروه مجدد آغاز شده است.

باج افزار REvil  بازگشته است : نمونه های تازه بدافزار نشان میدهد که فعالیت گروه مجدد آغاز شده است.

گروه بد نام REvil در حین افزایش تنش ها بین روسیه و آمریکا بازگشته است، با یک ساختار جدید و رمزگذار اصلاح شده که اجازه‌ی حمله به اهداف بیشتری را میدهد.

گروه بد نام REvil در حین افزایش تنش ها بین روسیه و آمریکا بازگشته است، با یک ساختار جدید و رمزگذار اصلاح شده که اجازه‌ی حمله به اهداف بیشتری را میدهد.
در اکتبر، فعالیت گروه REvil پس از اینکه نهاد های قانونی سرور تور آن ها را هک کردند منحل شد که با دستگیری تعدادی از افراد گروه توسط نهاد های قانونی روسیه همراه بود.
اگرچه، پس از تهاجم به اکراین، روسیه اعلام کرد که آمریکا مذاکراتی که مربوط به گروه REvil هم میشد را رها کرده و کانال های ارتباطی را نیز بسته است.
وبسایت تور REvil به فعالیت بازگشته است.
پس از مدتی، ساختار قدیمی تور REvil شروع به فعالیت مجدد کرد، اما بجای نمایش وبسایت قدیمی، آن ها بازدید کنندگان را به URL هایی برای عملیات های بدون نام باج افزاری هدایت میکرد.
در حالی که این سایت ها هیچ شباهتی به وبسایت قدیمی REvil ندارند، این نکته که ساختار قدیمی آن ها را به وبسایت جدید هدایت میکند نشان میدهد که REvil احتمالا فعالیت خود را مجددا از سر گرفته.
در حالی که این اتفاقات بطور قوی نشان میدهند که گروه REvil  به the new unnamed تغییر نام داده است، همچنین وبسایت تور قبلا در نوامبر پیام " REvil بد است " را نمایش میداد.
این دسترسی به وبسایت تور بدین معنی است که دیگر گروه های هکر یا نهاد های قانونی به وبسایت تور REvil دسترسی دارند، پس وبسایت ها به تنهایی اثبات کافی برای بازگشت این گروه نبودند.

باج افزار revil

تنها راه برای مطمئن شدن که آیا گروه REvil بازگشته این است که یک نمونه از قفل گذار را پیدا کرده و آن را آنالیز کنیم تا بتوانیم تایید کنیم که آیا پچ شده است یا از سورس کد کامپایل شده است.
یک نمونه جدید از قفل گذار این گروه توسط محقق AVAST، Jakub Kroustek کشف شده است که تایید میکند عملیات جدید باج افزاری به گروه REVil ربط دارد.
نمونه ها بازگشت این گروه را تایید میکنند.
د حالی که تعداد کمی از گروه ها از قفل گذار این گروه استفاده میکنند، همه ی پچ های قابل اجرا بجای دسترسی به سورس کد مستقیم گروه استفاده میکنند.
محقق امنیتی R3MRUM توییت کرده است که نسخه نمونه های REvil به 1.0 تغییر کرده اند و این نسخه تا 2.08 ادامه پیدا تا قبل اینکه فعالیت این گروه متوقف شود.

بیت دیفندر باج افزار

در طی گفتگویی با BleepingComputer، محقق امنیتی نتوانسته توضیح بدهد که چرا قفل گذار فایل ها را قفل گذاری نمیکند اما معتقد است که از سورس کد کامپایل شده است.
R3MRUM گفته است : " بله حدس من این است که هکر سورس کد را داشته است. نه همانند LV Ransomware که پچ شده استفاده کرده است."
همچنین مدیر عامل Advance CEO، Vitali Kremez نمونه ی REvil را در این هفته مهندسی معکوس کرده و برای BleepingComputer تایید کرده است که در تاریخ 26 آپریل ( 6 اردیبهشت ) از سورس کد کامپایل شده است.
همچنین Kremez اعلام کرده است که نمونه ی تازه ی REvil شامل یک بخش configuration جدید به نام ‘accs’ است، که شامل اطلاعات اعتباری برای قربانی خاصی است که مورد حمله واقع میشوند.
Kremez معتقد است ‘accs’ گزینه ی پیکربندی که است از قفل گذاری بر روی دیگر دستگاه ها جلوگیری میکند که شامل اطلاعات حساب و دامین خاصی نیستند، اجازه میدهد تا اهداف خاص را مورد هدف قرار دهند.
در اضافه مربوط به قابلیت ‘accs’، configuration نمونه جدید REvil، PID و SUB تنظیم شده دارد، و وابسته به تعیین کننده هویت است، تا از متغیر های طولانی تر نوع GUID استفاده کند همانند '3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4.'
همچنین Bleepingcomputer نمونه ی تازه باج افزار را تست کرده است، در حالی که قفل گذاری نکرده اما یک فایل یادداشت باج ایجاد کرده است، که بسیار شبیه به یادداشت های قبلی این گروه است.

باج افزار revil

بعلاوه تمام این موارد، در حالی که تفاوت های بین وبسایت قدیمی REvil و نسخه تغییر نام یافته وجود دارد، هنگامی که قربانی یکبار در سایت لاگین کند، بسیار شبیه به سایت اصلی است، و افراد هکر ادعا میکنند که 'Sodinokibi,' هستند، همانند تصویر زیر.

باج افزار revil

در حالی که چهره عمومی REvil به نام  'Unknown' شناخته شده بود در حال حاضر نیست، محقق امنیتی FellowSecurity اعلام کرده است که یکی توسعه دهندگان کلیدی REvil، که بخشی از تیم قدیمی بوده است، عملیات باج افزار را مجدد شروع کرده است.
همانطور این فرد یک توسعه دهنده کلیدی بوده است، منطقی است که سورس کد کامل REvil دسترسی داشته باشد و همچنین احتمالا کلید های خصوصی وبسایت قدیمی تور.
این عجیب نیست که REvil نام خود تحت عملیات جدید تغییر داده است، به ویژه با بد شدن روابط بین روسیه و آمریکا.
اگرچه، هنگامی که عملیات های باج افزاری نام خود را تغییر میدهند، آن ها از عمد اینکار را میکنند تا نهاد های قانونی یا تحریم هایی که مانع از پرداخت میشوند طفره رفته.
همچنین، این برای REvil غیر معمول است که برگشتشان را به صورت عمومی اعلام کنند، بجای اینکه سعی کنند از شناسایی شدن طفره بروند، همانند چیزی که در بسیاری از گروه های باج افزاری هنگام تغییر برند دیده ایم.

www.bleepingcomputer.com