Die Ransomware-Gruppe REvil ist mit einer neuen Infrastruktur und einem modifizierten Verschlüsselungsgerät wieder am Laufen, nachdem sie Berichten zufolge letztes Jahr geschlossen wurde.
Im Oktober 2021 wurde die berüchtigte Ransomware-Bande geschlossen, nachdem ein Polizeieinsatz ihre Tor-Server gekapert hatte. Daraufhin wurden mehrere seiner wichtigsten Mitglieder durch den russischen FSB verhaftet.
Als Russlands Invasion in der Ukraine die amerikanisch-russischen Beziehungen beeinträchtigte, schloss die US-Regierung einseitig ihren Cybersicherheits-Kommunikationskanal mit Moskau. Infolgedessen zogen sich auch die USA aus dem REvil-Verhandlungsprozess zurück.
Während es ein wenig so aussah, als hätte REvil den Laden endgültig geschlossen, funktionierte die alte Tor-Infrastruktur der Gruppe kürzlich wieder. Laut einem Bericht von BleepingComputer leiten die Tor-Server Besucher jedoch zu URLs für eine neue, unbenannte Ransomware-Operation um, anstatt alte Websites anzuzeigen.
Ein neuer REvil-Verschlüsseler
Websites werden ständig umgeleitet, weshalb die Suche nach einer neuen Probe des REvil-Ransomware-Verschlüsselungsprogramms und deren Analyse die einzige Möglichkeit ist, herauszufinden, ob die Cyberkriminelle wirklich zurückgekehrt ist oder nicht.
Glücklicherweise hat Jakub Kroustek, Direktor für Malware-Forschung bei Avast, kürzlich ein Beispiel des von der neuen Ransomware-Gruppe verwendeten Verschlüsselungsprogramms gefunden, bei dem es sich möglicherweise um REvil handelt, aber auch nicht. Es ist zu beachten, dass andere Ransomware-Operationen in der Vergangenheit den Verschlüsselungscode von REvil verwendet haben, aber alle verwendeten gepatchte ausführbare Dateien, anstatt direkten Zugriff auf den Quellcode der Gruppe zu haben.
Mehrere Sicherheitsforscher und Malware-Analysten, die mit BleepingComputer gesprochen haben, haben bestätigt, dass dieses neue Beispiel aus dem REvil-Quellcode kompiliert wurde, aber neue Modifikationen enthält. In einem Beitrag auf Twitter sagte der Sicherheitsforscher R3MRUM, dass die Beispielversionsnummer zwar 1.0 sei, es sich jedoch tatsächlich um eine Weiterentwicklung der letzten REvil-Verschlüsselungsversion (2.08) handele, die vor der Schließung der Gruppe veröffentlicht wurde.
Vitali Kremez, CEO von Advanced Intel, konnte das fragliche Beispiel auch zurückentwickeln und bestätigte BleepingComputer, dass es am 26. April aus den Quellen kompiliert und der Patch entfernt wurde.
Obwohl der erste öffentliche Vertreter von REvil, bekannt als „Unbekannt“, immer noch vermisst wird, teilte der Threat-Intelligence-Forscher FellowSecurity der Verkaufsstelle mit, dass einer der Hauptentwickler der Ransomware-Gruppe die Operation unter einem neuen Namen wiederbelebt habe.
Zum jetzigen Zeitpunkt wissen wir noch nicht, worauf sich diese umbenannte Version der REvil-Ransomware-Gruppe bezieht, aber jetzt, da REvil zurück ist, können wir mit weiteren hochkarätigen Angriffen gegen wichtige und wertvolle Ziele auf der ganzen Welt rechnen.
Über BleepingComputer