Kötü şöhretli Revil fidye yazılımı operasyonu, yeni altyapı ve daha fazla hedeflenen saldırılara izin veren modifiye edilmiş bir şifrelemeyle Rusya ve ABD arasındaki artan gerilimler arasında geri döndü.
Ekim ayında, Revil fidye yazılımı çetesi, bir kolluk operasyonu TOR sunucularını kaçırdıktan sonra kapandı ve ardından Rus kolluk kuvvetleri tarafından üyelerin tutuklanması.
Ancak, Ukrayna'nın işgalinden sonra Rusya, ABD'nin Revil Gang ve kapalı iletişim kanalları ile ilgili müzakere sürecinden çekildiğini belirtti.
Kısa bir süre sonra, eski Revil Tor altyapısı tekrar çalışmaya başladı, ancak eski web sitelerini göstermek yerine, yeni bir isimsiz fidye yazılımı operasyonu için ziyaretçileri URL'lere yönlendirdiler.
Bu siteler Revil'in önceki web sitelerine benzemiyor olsa da, eski altyapının yeni sitelere yönlendirilmesi, Revil'in muhtemelen tekrar çalıştığını gösterdi. Ayrıca, bu yeni siteler önceki Revil saldırıları sırasında çalınan yeni kurbanların ve verilerin bir karışımını içeriyordu.
Bu olaylar, Revil'in yeni isimsiz operasyon olarak yeniden markalaştığını güçlü bir şekilde göstermesine rağmen, Tor siteleri daha önce Kasım ayında "Revil'in kötü" olduğunu belirten bir mesaj sergilemişti.
Tor sitelerine bu erişim, diğer tehdit aktörlerinin veya kolluk kuvvetlerinin Revil'in Tor sitelerine eriştiği anlamına geliyordu, bu nedenle web sitelerinin kendileri çetenin geri dönüşünün yeterince güçlü bir kanıtı değildi.
Revil'in geri dönüp dönmediğinden emin olmanın tek yolu, fidye yazılımı şifrelemesinin bir örneğini bulmak ve kaynak kodundan yamalı veya derli olup olmadığını belirlemek için analiz etmekti.
Yeni fidye yazılımı operasyonunun şifrelemesinin bir örneği bu hafta Avast Research Jakub Kroustek tarafından keşfedildi ve yeni operasyonun Revil ile bağlarını doğruladı.
Birkaç fidye yazılımı işlemi Revil'in şifrelemesini kullanırken, hepsi çetenin kaynak koduna doğrudan erişim yerine yamalı yürütülebilir ürünler kullanır.
Bununla birlikte, BleepingComputer, birden fazla güvenlik araştırmacısı ve kötü amaçlı yazılım analistleri tarafından yeni operasyon tarafından kullanılan keşfedilen Revil örneğinin kaynak kodundan derlendiğini ve yeni değişiklikler içerdiği söylendi.
Güvenlik araştırmacısı R3MRum, Revil örneğinin sürüm numarasının 1.0 olarak değiştirildiğini ancak Revil tarafından kapatılmadan piyasaya sürülen son sürümün devamı olduğunu tweetledi.
BleepingComputer ile tartışırken, araştırmacı, şifrelemenin neden dosyaları şifrelemediğini ancak kaynak kodundan derlendiğine inandığını açıklayamadığını söyledi.
R3Mrum, BleepingComputer'a verdiği demeçte, "Evet, değerlendirmem tehdit oyuncunun kaynak koduna sahip olması." LV fidye yazılımı "gibi yamalı değil," dedi.
Gelişmiş Intel CEO'su Vitali Kremeez de bu hafta sonu Revil örneğini tersine çevirdi ve BleepingComputer'a 26 Nisan'da kaynak kodundan derlendiğini ve yamalı olmadığını doğruladı.
Kremeez, BleepingComputer'a yeni Revil örneğinin, saldırının hedeflediği belirli kurban için kimlik bilgileri içeren yeni bir yapılandırma alanı olan 'ACCS' içerdiğini söyledi.
Kremeez, 'ACCS' yapılandırma seçeneğinin, belirtilen hesapları ve Windows alanlarını içermeyen diğer cihazlarda şifrelemeyi önlemek için kullanıldığına inanır ve yüksek hedefli saldırılara izin verir.
'ACCS' seçeneğine ek olarak, yeni Revil örneğinin yapılandırması, '3C852CC8-B7F1-436E-BA3B-C53B7FC6C0E4' gibi daha uzun kılavuz tipi değerler kullanmak için kampanya ve bağlı kuruluş tanımlayıcıları olarak kullanılan alt ve PID seçeneklerini değiştirmiştir.
BleepingComputer ayrıca fidye yazılımı örneğini test etti ve şifrelemese de, Revil'in eski fidye notlarıyla aynı olan fidye notunu oluşturdu.
Ayrıca, eski Revil bölgeleri ve yeniden markalı operasyon arasında bazı farklılıklar olsa da, bir kurban sahaya oturum açtıktan sonra, orijinallerle neredeyse aynıdır ve tehdit aktörleri aşağıda gösterildiği gibi 'sodinokibi' olduğunu iddia eder.
'Bilinmeyen' olarak bilinen orijinal halka açık Revil temsilcisi hala eksik olsa da, Tehdit İstihbarat Araştırmacısı Filowsecurity, BleepingComputer'a eski ekibin bir parçası olan Revil'in orijinal çekirdek geliştiricilerinden birinin fidye yazılımı operasyonunu yeniden başlattığını söyledi.
Bu bir çekirdek geliştirici olduğu için, tam Revil kaynak koduna ve potansiyel olarak eski siteler için özel anahtarlara erişimleri mantıklı olacaktır.
Revil'in yeni operasyon altında, özellikle ABD ve Rusya arasındaki azalan ilişkilerle yeniden markalanması şaşırtıcı değil.
Bununla birlikte, fidye yazılımı operasyonları yeniden markalaştığında, genellikle fidye ödenmesini önleyen kolluk kuvvetlerinden veya yaptırımlardan kaçınmak için yaparlar.
Bu nedenle, Revil'in diğer birçok fidye yazılımı yeniden markalerinde gördüğümüz gibi tespitten kaçmaya çalışmak yerine, geri dönüşleri hakkında bu kadar halka açık olması olağandışıdır.
Revil Ransomware Üyesi, Kaseya saldırısı için yargılanmak üzere ABD'ye iade edildi
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Revil'in tor siteleri yeni fidye yazılımı operasyonuna yönlendirmek için canlanıyor
FBI: Blackcat Ransomware dünya çapında en az 60 varlığı ihlal etti
FBI, ABD tarım sektörünü hedefleyen fidye yazılımı saldırıları konusunda uyarıyor
Kaynak: Bleeping Computer