Mẫu REvil mới – băng Ransomware trở lại sau nhiều tháng ngừng hoạt động

Hoạt động ransomware khét tiếng được gọi là REvil (hay còn gọi là Sodin hoặc Sodinokibi) đã trở lại sau sáu tháng không hoạt động, một phân tích về các mẫu ransomware mới đã được tiết lộ.

Các nhà nghiên cứu từ Secureworks Counter Threat Unit (CTU) cho biết: “Phân tích các mẫu này chỉ ra rằng nhà phát triển có quyền truy cập vào mã nguồn của REvil, củng cố khả năng nhóm mối đe dọa đã xuất hiện trở lại”.

“Việc xác định nhiều mẫu với các biến đổi khác nhau trong một khoảng thời gian ngắn như vậy và việc thiếu phiên bản gốc mới  cho thấy REvil đang được phát triển mạnh một lần nữa.”

REvil, viết tắt của Ransomware Evil, là một kế hoạch ransomware dưới dạng dịch vụ (RaaS) và được quy cho một nhóm nói / có trụ sở tại Nga được gọi là Gold Southfield, xuất hiện ngay khi GandCrab hoạt động ít dần và tuyên bố nghỉ hưu.

Đây cũng là một trong những nhóm sớm nhất áp dụng kế hoạch tống tiền kép, trong đó dữ liệu bị đánh cắp từ các cuộc xâm nhập được sử dụng để tạo ra đòn bẩy bổ sung và buộc nạn nhân phải trả tiền.

Nhóm ransomware hoạt động từ năm 2019 này đã gây chú ý vào năm ngoái vì các cuộc tấn công nổi tiếng của họ vào JBS và Kaseya, khiến băng nhóm này chính thức sập vào tháng 10 năm 2021 sau khi có hành động thi pháp chiếm đoạt cơ sở hạ tầng máy chủ của họ.

Đầu tháng Giêng này, một số thành viên thuộc tổ chức tội phạm mạng đã bị Cơ quan An ninh Liên bang Nga (FSB) bắt giữ sau các cuộc đột kích được tiến hành tại 25 địa điểm khác nhau trong nước.

Sự hồi sinh mạnh mẽ diễn ra khi trang web rò rỉ dữ liệu của REvil trong mạng TOR bắt đầu chuyển hướng sang máy chủ mới vào ngày 20 tháng 4, với công ty an ninh mạng Avast tiết lộ một tuần sau đó rằng họ đã chặn một mẫu ransomware trong tự nhiên “trông giống như một phiên bản Sodinokibi / REvil mới.”

Mặc dù mẫu được đề cập không mã hóa tệp và chỉ thêm một phần mở rộng ngẫu nhiên, Secureworks đã giải thích nó là do lỗi lập trình được đưa vào trong chức năng đổi tên tệp đang được mã hóa.

Trên hết, các mẫu mới được phân tích bởi công ty an ninh mạng – mang dấu thời gian là ngày 11 tháng 3 năm 2022 – kết hợp những thay đổi đáng chú ý đối với mã nguồn giúp nó khác biệt với phiên bản REvil khác vào tháng 10 năm 2021.

Điều này bao gồm các cập nhật đối với logic giải mã chuỗi, vị trí lưu trữ cấu hình và các khóa công khai được mã hóa cứng. Cũng được sửa đổi là các miền Tor được hiển thị trong ghi chú tiền chuộc, liên quan đến các trang web tương tự đã hoạt động vào tháng trước –

Trang web rò rỉ REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion

Trang web thanh toán tiền chuộc REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion

Sự hồi sinh của REvil cũng có thể gắn liền với cuộc xâm lược liên tục của Nga vào Ukraine, sau đó Mỹ đã ủng hộ đề xuất hợp tác chung giữa hai nước để bảo vệ cơ sở hạ tầng quan trọng.


Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn: https://thehackernews.com/2022/05/new-revil-samples-indicate-ransomware.html


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »