Kötü şöhretli REvil fidye yazılımının intikam almak için geri döndüğüne dair yeni kanıtlar ortaya çıktı, çünkü yeni keşfedilen örnekler, grubun artık hedef seçiminde ayrım gözetmediğini gösteriyor.
Secureworks’ten siber güvenlik araştırmacıları, yakın zamanda VirusTotal’a yüklenen yeni kötü amaçlı yazılım örneklerini analiz ettiler ve bunun arkasında kim varsa muhtemelen geçmişte REvil’in kaynak koduna erişimi olduğu sonucuna vardılar.
Bu, araştırmacıları, muhtemelen 2021’in sonlarında operasyonları kapatılan aynı grup olduğuna inandırdı.
Artık hiçbir şey sınırsız değil
Araştırmacılar, haberi duyuran bir blog yazısında, “Farklı modifikasyonlar içeren birden fazla örneğin tanımlanması ve resmi bir yeni sürümün olmaması, REvil’in aktif olarak geliştirilmekte olduğunu gösteriyor” dedi.
Yakın zamanda yeni bir REvil sızıntı sitesi ortaya çıktı. Geçen yıl Ekim ayında keşfedilen bu en yeni örnek ve daha eski bir örnek, hepsi REvil’in tekrar aktif olduğunu gösteriyor.
Bu yeni sürümlerde, araştırmacılar, dizi şifre çözme mantığında yeni bir komut satırı argümanına dayanmasını sağlayan yükseltmeleri tespit ettiler. Sabit kodlu ortak anahtarlar, yapılandırma depolama konumu ve bağlı kuruluş takibi için veri formatının yanı sıra güncellendi.
Ancak belki de en büyük değişiklik, yasak bölgelerin kaldırılmasıdır. REvil’in eski sürümleri, virüslü uç noktanın coğrafi konumunu kontrol eder ve belirli kriterleri karşılarsa (örneğin, Rusça konuşan bir topluluktaysa) etkinleştirilmez.
Bu artık geçerli değil.
CTU araştırmacıları, “Ekim 2021 REvil örneği, fidye yazılımının yasaklanmış bir bölgede bulunan bir sistemde çalışmadığını doğrulayan kodu kaldırdı.” “Bu kaldırma, REvil’in konumundan bağımsız olarak herhangi bir sistemde yürütülmesini sağladı.”
REvil başlangıçta Rusların bir düzineden fazla üyeyi tutukladığı ortak bir ABD-Rusya operasyonu sonrasında kapatıldı.
Rusya’nın Ukrayna’yı işgali ABD ile ilişkileri bozarken, ABD hükümeti harekete geçti ve Moskova ile siber güvenlik konusunda sahip olduğu iletişim kanalını tek taraflı olarak kapattı. Sonuç olarak ABD de REvil ile ilgili müzakere sürecinden çekildi.
Secureworks’ün analizinden önce, Avast, Advanced Intel, R3MRUM ve diğerleri dahil olmak üzere diğer siber güvenlik firmaları REvil’in yeniden canlanması konusunda uyardı.
Aracılığıyla: Kayıt