Yeni fidye yazılımı örneklerinin analizi, REvil (aka Sodin veya Sodinokibi) olarak bilinen kötü şöhretli fidye yazılımı operasyonu altı ay boyunca hareketsiz kaldıktan sonra yeniden başladı.
Secureworks Counter Threat Unit (CTU) araştırmacıları, “Bu örneklerin analizi, geliştiricinin REvil’in kaynak koduna erişimi olduğunu ve bu da tehdit grubunun yeniden ortaya çıkma olasılığını güçlendirdiğini gösteriyor.” dedim Pazartesi günü yayınlanan bir raporda.
“Bu kadar kısa sürede çeşitli modifikasyonlarla birden fazla örneğin tanımlanması ve resmi bir yeni sürümün olmaması, REvil’in bir kez daha yoğun aktif geliştirme aşamasında olduğunu gösteriyor.”
Ransomware Evil’in kısaltması olan REvil, bir hizmet olarak fidye yazılımı (RaaS) şemasıdır ve olarak bilinen Rusya merkezli/konuşan bir gruba atfedilir. Altın Southfieldaynen ortaya çıkan GandYengeç aktivite azaldı ve ikincisi emekli olduklarını açıkladı.
Ayrıca, izinsiz girişlerden çalınan verilerin ek kaldıraç oluşturmak ve mağdurları ödemeye zorlamak için kullanıldığı çifte gasp şemasını benimseyen ilk gruplardan biridir.
operasyonel 2019’dan berifidye yazılımı grubu geçen yıl JBS ve Kaseya’ya yönelik yüksek profilli saldırıları nedeniyle manşetlere çıktı ve bir kolluk kuvvetinin sunucu altyapısını ele geçirmesinin ardından çetenin Ekim 2021’de dükkanı resmen kapatmasına neden oldu.
Bu Ocak ayının başlarında, siber suç sendikasına ait birkaç üye, ülkenin 25 farklı noktasında gerçekleştirilen baskınların ardından Rusya Federal Güvenlik Servisi (FSB) tarafından tutuklandı.
Görünen canlanma, REvil’in TOR ağındaki veri sızıntısı sitesi olarak geliyor yeniden yönlendirmeye başladı 20 Nisan’da yeni bir sunucuya, siber güvenlik firması Avast’ın bir hafta sonra engellendi “Yeni bir Sodinokibi / REvil varyantına benzeyen” vahşi bir fidye yazılımı örneği.
Söz konusu örneğin dosyaları şifrelemediği ve yalnızca rastgele bir uzantı eklediği tespit edilirken, Secureworks bunu, şifrelenen dosyaları yeniden adlandıran işlevsellikte ortaya çıkan bir programlama hatasına bağladı.
Bunun üzerine, yeni örnekler 11 Mart 2022 tarihli bir zaman damgası taşıyan siber güvenlik firması tarafından incelenen bu veriler, kaynak kodunda, onu Ekim 2021 tarihli başka bir REvil eserinden ayıran kayda değer değişiklikleri içeriyor.
Bu, dize şifre çözme mantığındaki güncellemeleri, yapılandırma depolama konumunu ve sabit kodlanmış ortak anahtarları içerir. Ayrıca fidye notunda görüntülenen Tor alanları da revize edildi ve geçen ay yayına giren sitelere atıfta bulunuldu –
- REvil sızıntı sitesi: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]soğan
- REvil fidye ödeme sitesi: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]soğan
REvil’in yeniden canlanması, muhtemelen Rusya’nın devam eden Ukrayna işgaline de bağlı ve ardından ABD önerilen ortak işbirliği kritik altyapıyı korumak için iki ülke arasında.
Gelişme, fidye yazılımı aktörlerinin yalnızca farklı bir ad altında yeniden gruplanıp yeniden markalaşmak ve kaldıkları yerden devam etmek için dağıldığının bir başka işaretidir ve siber suçlu gruplarını tamamen ortadan kaldırmanın zorluğunun altını çizer.