新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来

admin 2022年5月12日15:27:45评论52 views字数 1057阅读3分31秒阅读模式
新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来

REvil简介

REvil是Ransomware Evil的缩写,是一种勒索软件即服务(RaaS)计划,REvil勒索病毒,也叫做Sodinokibi勒索病毒,最早这款勒索病毒被称为Sodinokibi,它也是最早采用双重勒索计划的团体之一,其中从入侵中窃取的数据被用来产生额外的杠杆作用并迫使受害者付出代价。

对REvil勒索病毒的跟踪

自2019年开始运营以来,勒索软件组织去年因其对JBS和Kaseya的高强度攻击而成为当时头条新闻,促使该团伙在执法行动劫持其服务器基础设施后于2021年10月正式关闭商店。

新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来

4月20日,发现REvil在TOR网络中的数据泄露的站点开始重定向到新的主机,网络安全公司Avast研究员在一周后披露道,它已经在野外阻止了勒索软件样本,且表示该样本“看起来像一个新的Sodinokibi / REvil变体”。

最重要的是,有网络安全公司2022年3月11日剖析的新样本对源代码进行了显著更改,将其与2021年10月的另一个REvil区分开来,过程包括对其字符串解密的逻辑、配置存储的位置和硬编码公钥的更新。还修订了赎金说明中显示的Tor域,引用了上个月上线的网站:

  • REvil 泄漏站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]洋葱
  • REvil赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]洋葱

REvil重新活跃的思考

对于REvil的重新活跃与复兴也可能与俄罗斯对于乌克兰的持续入侵有相关联,此后美国退出了两国之间为保护关键基础设施而提出的联合合作。

如果从另外一个角度出发思考,REvil卷土重来这一发展是另一个迹象,表明勒索软件行为者当时解散关闭主站点只是为了以不同的名称或重新组合和重塑勒索病毒品牌,并从他们离开的地方重新开始,这突显了完全根除网络犯罪集团的难度的进一步提高。

关注及时推送最新安全威胁资讯!

新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,EXP 与 POC 仅仅只供对已授权的目标使用测试,对未授权目标的测试本文库不承担责任,均由本人自行承担。本文库中的漏洞均为公开的漏洞收集,若文库中的漏洞出现敏感内容产生了部分影响,请及时联系作者删除漏洞,望师傅们谅解」

原文始发于微信公众号(Gaobai文库):新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日15:27:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的REvil样本数据表明Sodinokibi(REvil)勒索病毒团伙卷土重来http://cn-sec.com/archives/998166.html

发表评论

匿名网友 填写信息