Die Ransomware-Gruppe REvil ist mit einer neuen Infrastruktur und einem modifizierten Verschlüsseler wieder am Laufen, nachdem sie letztes Jahr angeblich abgeschaltet wurde.
Im Oktober 2021 wurde die berüchtigte Ransomware-Bande geschlossen, nachdem eine Polizeioperation ihre Tor-Server gekapert hatte. Darauf folgte die Verhaftung mehrerer ihrer wichtigsten Mitglieder durch den russischen FSB.
Als Russlands Invasion in der Ukraine die Beziehungen zwischen Russland und den Vereinigten Staaten verschlechterte, ging die US-Regierung voran und schloss einseitig ihren Cybersicherheits-Kommunikationskanal mit Moskau. Infolgedessen zogen sich auch die Vereinigten Staaten aus dem REvil-Verhandlungsprozess zurück.
Während es dort ein bisschen so aussah, als hätte REvil endgültig geschlossen, lief die alte Tor-Infrastruktur der Gruppe vor kurzem wieder an. Anstatt jedoch alte Websites anzuzeigen, leiten seine Tor-Server Besucher zu URLs für eine neue, unbenannte Ransomware-Operation um, so ein Bericht von BleepingComputer.
Ein neuer REvil-Verschlüsseler
Websites werden ständig umgeleitet. Aus diesem Grund ist das Auffinden und Analysieren einer neuen REvil-Ransomware-Verschlüsselungsprobe die einzige Möglichkeit, um festzustellen, ob die cyberkriminelle Gruppe wirklich zurück ist oder nicht.
Glücklicherweise hat Avast Malware Research Director Jakub Kroustek kürzlich eine Probe des Verschlüsselungsprogramms gefunden, das von der neuen Ransomware-Gruppe verwendet wird und möglicherweise REvil ist. Es sei darauf hingewiesen, dass andere Ransomware-Operationen in der Vergangenheit den REvil-Verschlüsseler verwendet haben, aber alle haben gepatchte ausführbare Dateien verwendet, anstatt direkten Zugriff auf den Quellcode der Gruppe zu haben.
Mehrere Sicherheitsforscher und Malware-Analysten, die mit BleepingComputer sprachen, haben bestätigt, dass dieses neue Beispiel aus dem REvil-Quellcode kompiliert wurde, aber neue Modifikationen enthält. In einem Beitrag auf Twitter sagte der Sicherheitsforscher R3MRUM, dass die Beispielversionsnummer zwar 1.0 ist, es sich aber tatsächlich um eine Fortsetzung der neuesten REvil-Verschlüsselungsversion (2.08) handelt, die veröffentlicht wurde, bevor die Gruppe geschlossen wurde.
Der CEO von Advanced Intel, Vitali Kremez, war auch in der Lage, das fragliche Beispiel zurückzuentwickeln, und bestätigte BleepingComputer, dass es am 26. April aus dem Quellcode kompiliert und der Patch entfernt wurde.
Obwohl der erste öffentliche Repräsentant von REvil, der als „Unknown“ bekannt ist, immer noch vermisst wird, teilte der Threat-Intelligence-Forscher FellowSecurity der Verkaufsstelle mit, dass einer der leitenden Entwickler der Ransomware-Gruppe die Operation unter einem neuen Namen wiederbelebt habe.
Zu diesem Zeitpunkt wissen wir immer noch nicht, worauf sich diese umbenannte Version der REvil-Ransomware-Gruppe bezieht, aber jetzt, da REvil zurück ist, können Sie mit weiteren hochkarätigen Angriffen gegen wichtige und wertvolle Ziele auf der ganzen Welt rechnen.
Über BleepingComputer
