REvil fidye yazılımı grubu, sözde geçen yıl kapatıldıktan sonra yeni altyapı ve değiştirilmiş bir şifreleyici ile tekrar faaliyete geçti.
Ekim 2021’de, kötü şöhretli fidye yazılımı çetesi, bir kolluk kuvveti operasyonunun Tor sunucularını ele geçirmesinin ardından kapatıldı. Bunu daha sonra birkaç kilit üyesinin Rusya’nın FSB’si tarafından tutuklanması izledi.
Rusya’nın Ukrayna’yı işgali ABD ile ilişkileri bozarken, ABD hükümeti harekete geçti ve Moskova ile siber güvenlik konusunda sahip olduğu iletişim kanalını tek taraflı olarak kapattı. Sonuç olarak ABD de REvil ile ilgili müzakere sürecinden çekildi.
Bir süreliğine REvil dükkânı tamamen kapatmış gibi görünse de, grubun eski Tor altyapısı kısa süre önce yeniden çalışmaya başladı. Ancak, Tor sunucuları, eski web sitelerini göstermek yerine, ziyaretçileri yeni bir adsız fidye yazılımı işlemi için URL’lere yönlendirdi. BleeBilgisayar.
Yeni bir REvil şifreleyici
Web siteleri her zaman yeniden yönlendirilir, bu nedenle REvil’in fidye yazılımı şifreleyicisinin yeni bir örneğini bulmak ve onu analiz etmek, siber suçlu grubunun gerçekten geri dönüp dönmediğini anlamanın tek yoludur.
Neyse ki, Avast kötü amaçlı yazılım araştırma direktörü Jakub Kroustek kısa süre önce yeni fidye yazılımı grubu tarafından kullanılan REvil olabilecek veya olmayabilecek bir şifreleyici örneği buldu. Diğer fidye yazılımı operasyonlarının geçmişte REvil’in şifreleyicisini kullandığını, ancak grubun kaynak koduna doğrudan erişime sahip olmak yerine hepsinin yamalı yürütülebilir dosyaları kullandığını belirtmekte fayda var.
Konuşan birden fazla güvenlik araştırmacısı ve kötü amaçlı yazılım analisti BleeBilgisayar bazı yeni değişiklikler içermesine rağmen, bu yeni örneğin REvil’in kaynak kodundan derlendiğini onayladılar. İçinde Twitter’da yayınlagüvenlik araştırmacısı R3MRUM, örneğin sürüm numarasının 1.0 olmasına rağmen, aslında REvil’in grup kapatılmadan önce yayınlanan son şifreleyici sürümünün (2.08) devamı olduğunu söyledi.
Gelişmiş Intel CEO’su Vitali Kremez de söz konusu numunede tersine mühendislik yapabildi ve doğruladı. BleeBilgisayar 26 Nisan’da kaynak koddan derlenmiş ve yama yapılmamış.
REvil’in “Bilinmeyen” olarak bilinen orijinal halka açık temsilcisi hala kayıp olsa da, tehdit istihbaratı araştırmacısı FellowSecurity haber çıkışına fidye yazılımı grubunun orijinal çekirdek geliştiricilerinden birinin operasyonu yeni bir adla yeniden başlattığını söyledi.
Şu anda, REvil fidye yazılımı grubunun bu yeniden markalı sürümünün kendisini ne olarak adlandırdığını hala bilmiyoruz, ancak şimdi REvil geri döndüğü için dünya çapında önemli ve değerli hedeflere daha yüksek profilli saldırılar görmeyi bekliyoruz.
Aracılığıyla BleeBilgisayar
