新样本表明，REvil勒索软件团伙已重新活跃

对新勒索软件样本的分析显示，臭名昭著的勒索软件操作 REvil（又名 Sodin 或 Sodinokibi）在六个月不活动后重新开始。

Secureworks Counter Threat Unit (CTU) 的研究人员在周一发布的一份报告中表示：“对这些样本的分析表明，开发人员可以访问 REvil 的源代码，从而增强了威胁组织重新出现的可能性。”

“在如此短的时间内识别出多个具有不同修改的样本，并且缺乏官方的新版本，这表明 REvil 再次处于积极的开发中。”

REvil 是 Ransomware Evil 的缩写，是一种勒索软件即服务 (RaaS) 计划，并归因于一个名为Gold Southfield的俄罗斯/语言组织，它的出现恰逢 GandCrab活动下降且后者宣布退休。

它也是最早采用双重勒索计划的组织之一，在该计划中，从入侵中窃取的数据被用来产生额外的影响力并迫使受害者付款。

该勒索软件组织自 2019 年开始运作，去年因其对JBS和Kaseya的高调攻击而成为头条新闻，促使该团伙在执法行动劫持其服务器基础设施后于 2021 年 10 月正式关闭商店。

今年 1 月初，俄罗斯联邦安全局 (FSB) 在该国 25 个不同地点进行突袭后，逮捕了该网络犯罪集团的几名成员。

随着 REvil 在 TOR 网络中的数据泄露站点于4 月 20 日开始重定向到新主机，这一明显的复苏出现了，网络安全公司 Avast 在一周后披露，它已在野外阻止了一个“看起来像新的 Sodinokibi / REvil”的勒索软件样本变种。”

虽然发现有问题的样本没有加密文件并且只添加了一个随机扩展名，但 Secureworks 将其归咎于重命名正在加密的文件的功能中引入的编程错误。

最重要的是，网络安全公司剖析的新样本（时间戳为 2022 年 3 月 11 日）对源代码进行了显着更改，使其与 2021年10 月的另一个 REvil 工件区分开来。

这包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新。还修订了赎金记录中显示的 Tor 域，引用了上个月上线的相同站点 -

• REvil 泄露站点：blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion

• REvil 赎金支付网站：landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion

REvil 的复兴也可能与俄罗斯对乌克兰的持续入侵有关，随后美国退出了两国为保护关键基础设施而提议的联合合作。

如果有的话，这一发展是另一个迹象，表明勒索软件参与者解散后只是重新组合并以不同的名称重新命名，并从他们离开的地方重新开始，突显了彻底根除网络犯罪集团的困难。

原文来自: thehackernews.com