El ransomware REvil/Sodinokibi está una vez más en desarrollo activo, y es probable que sus operadores originales sean los responsables, según un análisis realizado por Secureworks Counter Threat Unit (CTU), que publicó sus hallazgos el 9 de mayo de 2022.
El equipo de CTU analizó dos muestras enviadas por REvil a VirusTotal, una a finales de marzo y otra a finales de abril. Dicen que estos ejemplos muestran claramente que el desarrollador tiene acceso al código fuente de REvil, lo que implica fuertemente que su operador, rastreado por Secureworks como Gold Southfield, definitivamente está de vuelta en el juego.
Rob Pantazopoulos, consultor sénior de investigación de seguridad de la información en Secureworks, dijo a Computer Weekly que el equipo pudo hacer esta llamada con un nivel significativo de confianza.
“Quienquiera que esté ejecutando REvil ahora tiene acceso al código fuente del ransomware y partes de la infraestructura heredada utilizada para respaldarlo”, dijo.
“Es posible que algunos o todos los miembros de Gold Southfield hayan sido liberados por las autoridades rusas y ahora estén nuevamente en funcionamiento. También es plausible que no todos los miembros fueran arrestados en primer lugar y reanudaran sus operaciones con o sin nuevos miembros, o que un socio confiable de Gold Southfield se hiciera cargo de las operaciones con la bendición del grupo. De hecho, así empezó el propio grupo; Los operadores de Gandcrab, Gold Garden, se retiraron y vendieron sus operaciones a una subsidiaria que ahora llamamos Gold Southfield”.
Hacia fines de abril de 2022, la nueva inteligencia indicó que tanto las pandillas REvil como Conti estaban intensificando sus operaciones: REvil supuestamente fue eliminado del tablero en una puñalada coordinada por las fuerzas del orden y Conti resultó dañado al filtrar sus secretos de un socio descontento.
En el caso de REvil, alguien apareció el 20 de abril afirmando representar al grupo, y en ese momento se reveló que los servidores de REvil en la red Tor se estaban redirigiendo a lo que parecía ser una nueva operación, lo que sugiere una conexión con los pandilleros de Noch que deambulan. libre o un nuevo operador.
En ese momento, se especuló que, dada la guerra en Ucrania, la pandilla podría haber recibido un permiso tácito para volver a atacar a las víctimas de las autoridades rusas, que previamente habían sido fundamentales en su supuesta desaparición. Pantatopoulos sugirió que esta era una posibilidad definitiva.
«Desde nuestro punto de vista, la actitud del Estado ruso hacia los ciberdelincuentes con motivaciones financieras es, en el mejor de los casos, ambivalente y, en el peor, cómplice, siempre que este delito no entre en conflicto con los intereses del Estado ruso», dijo.
“Nos parece plausible que no haya una relación entre los elementos del estado ruso y las fuerzas del orden y algunos de estos grupos, pero el alcance de tales relaciones sigue sin estar claro.
“Y a pesar de la retórica y una o dos acciones positivas, como el arresto de algunos miembros de Gold Southfield a principios de 2022, la interrupción continua de las principales operaciones de ciberdelincuencia por parte de las fuerzas del orden rusas siempre parecía poco probable. Después de la invasión de Ucrania y la respuesta occidental que siguió, Rusia tiene aún menos incentivos para cooperar con las fuerzas del orden occidentales”.
modificaciones
Según Secureworks, el patrón de marzo incluye una serie de cambios que lo diferencian de REvil en octubre de 2021.
Estos incluyen la actualización de la lógica de descifrado de cadenas para confiar en un nuevo argumento de línea de comandos que puede ser un intento de evitar que los defensores o investigadores detonen muestras en una caja de arena; una actualización de las claves públicas codificadas de REvil; cambios en la forma en que REvil rastrea los datos de los afiliados; la eliminación de los controles de regiones prohibidas, lo que presumiblemente significa que REvil ahora se ejecutará en Ucrania si se encuentra allí; y agregar nuevos dominios Tor a la nota de rescate que coincidan con los nuevos dominios Tor encontrados en el último mes.
La muestra de abril que fue original destacado por Jakub Kroustek de Avastcontenía una funcionalidad casi idéntica aparte de los cambios en el descifrado de cadenas, pero también contenía un error que causaba que los archivos de la víctima cambiaran de nombre con una extensión aleatoria en lugar de encriptarse; esto parece ser un error de codificación por parte del desarrollador.
Secureworks se detuvo justo antes de la advertencia de REvil sobre ataques inminentes de ransomware. Pantazopoulos dijo: “Es demasiado pronto para saber cómo podrían evolucionar las operaciones de REvil con el tiempo. Actualmente hay cuatro bajas publicadas en el sitio de la fuga y esta tasa está por debajo de su pico de 2021. Sin embargo, hay numerosos ejemplos de REvil con varias modificaciones que indican un desarrollo activo y hemos observado intentos de reclutar socios en foros clandestinos para que sea completamente posible. que sus niveles de actividad podrían aumentar rápidamente”.
Aún así, la compañía sugiere que los defensores usen los controles existentes actualmente para filtrar y restringir el acceso a sus redes. Para obtener una lista completa de indicadores y dominios, consulte su publicación de blog.