La notoria operación de ransomware conocida como REvil (también conocida como Sodin o Sodinokibi) se reanudó después de seis meses de inactividad, según reveló un análisis de nuevas muestras de ransomware.
“El análisis de estas muestras indica que el desarrollador tiene acceso al código fuente de REvil, lo que refuerza la probabilidad de que el grupo de amenazas haya resurgido”, investigadores de Secureworks Counter Threat Unit (CTU) dicho en un informe publicado el lunes.
“La identificación de múltiples muestras con diversas modificaciones en un período de tiempo tan corto y la falta de una nueva versión oficial indica que REvil está bajo un fuerte desarrollo activo una vez más”.
REvil, abreviatura de Ransomware Evil, es un esquema de ransomware como servicio (RaaS) y se atribuye a un grupo de habla rusa conocido como Southfield de orosurgiendo así como gandcangrejo la actividad decayó y estos últimos anunciaron su retiro.
También es uno de los primeros grupos en adoptar el esquema de doble extorsión en el que los datos robados de las intrusiones se utilizan para generar apalancamiento adicional y obligar a las víctimas a pagar.
Operacional desde 2019el grupo de ransomware llegó a los titulares el año pasado por sus ataques de alto perfil contra JBS y Kaseya, lo que llevó a la pandilla a cerrar formalmente la tienda en octubre de 2021 después de que una acción policial secuestrara su infraestructura de servidor.
A principios de enero, varios miembros pertenecientes al sindicato del ciberdelito fueron arrestados por el Servicio Federal de Seguridad (FSB) de Rusia luego de redadas realizadas en 25 lugares diferentes del país.
El aparente resurgimiento se produce como el sitio de fuga de datos de REvil en la red TOR comenzó a redirigir a un nuevo host el 20 de abril, y la firma de seguridad cibernética Avast reveló una semana después que había obstruido una muestra de ransomware en estado salvaje “que parece una nueva variante de Sodinokibi/REvil”.
Si bien se descubrió que la muestra en cuestión no cifraba los archivos y solo agregaba una extensión aleatoria, Secureworks lo atribuyó a un error de programación introducido en la funcionalidad que cambia el nombre de los archivos que se están cifrando.
Además de eso, el nuevo muestras disecado por la firma de ciberseguridad, que lleva una marca de tiempo del 11 de marzo de 2022, incorpora cambios notables en el código fuente que lo distinguen de otro artefacto REvil con fecha de octubre de 2021.
Esto incluye actualizaciones de su lógica de descifrado de cadenas, la ubicación de almacenamiento de la configuración y las claves públicas codificadas. También se revisaron los dominios Tor que se muestran en la nota de rescate, que hacen referencia a los mismos sitios que se activaron el mes pasado:
- Sitio de fuga REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]cebolla
- Sitio de pago de rescate REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]cebolla
Es probable que el renacimiento de REvil también esté relacionado con la invasión en curso de Rusia a Ucrania, luego de lo cual EE. UU. se retiró de una cooperación conjunta propuesta entre los dos países para salvaguardar la infraestructura crítica.
En todo caso, el desarrollo es otra señal más de que los actores de ransomware se disuelven solo para reagruparse y cambiar su marca con un nombre diferente y continuar desde donde lo dejaron, lo que subraya la dificultad de erradicar por completo a los grupos de ciberdelincuentes.
About the Author
