Ara-genriset.com - Tidak aktif operasi selama 6 bulan lamanya, geng ransomware terkenal ini atau yang biasa disebut REvil (alias Sodin atau Sodinokibi) melanjutkan aksinya. Analisis sampel ransomware baru telah terungkap.
"Analisis sampel ini menunjukkan bahwa pengembang memiliki akses ke kode sumber REvil, memperkuat kemungkinan bahwa kelompok ancaman telah muncul kembali," kata peneliti dari Secureworks Counter Threat Unit (CTU) dalam sebuah laporan yang diterbitkan Senin.
"Identifikasi beberapa sampel dengan berbagai modifikasi dalam waktu singkat dan kurangnya versi baru resmi menunjukkan bahwa REvil sedang dalam pengembangan aktif yang berat sekali lagi."
REvil, kependekan dari Ransomware Evil, adalah skema ransomware-as-a-service (RaaS) dan dikaitkan dengan kelompok berbasis/berbahasa Rusia yang dikenal sebagai Gold Southfield, yang muncul tepat saat GandCrab menurun dan yang terakhir mengumumkan pengunduran diri mereka.
Melansir dari The Hacker News, Geng ransomware ini juga salah satu geng dimana yang paling awal mengadopsi skema pemerasan ganda dimana data yang dicuri dari pembobolan digunakan untuk menghasilkan pengaruh tambahan dan memaksa korban untuk membayar.
Beroperasi sejak 2019, grup ransomware menjadi berita utama tahun lalu karena serangan profil tinggi mereka terhadap JBS dan Kaseya, yang dimana memaksa perusahaan tersebut untuk secara resmi menutup toko pada Oktober 2021 setelah tindakan penegakan hukum membajak infrastruktur servernya.
Awal Januari ini, beberapa anggota sindikat kejahatan dunia maya ditangkap oleh Layanan Keamanan Federal (FSB) Rusia setelah penggerebekan yang dilakukan di 25 lokasi berbeda di negara itu.
Kebangkitan yang nyata muncul ketika situs kebocoran data REvil di jaringan TOR mulai dialihkan ke host baru pada 20 April, dengan perusahaan keamanan siber Avast mengungkapkan seminggu kemudian bahwa mereka telah memblokir sampel ransomware "yang terlihat seperti varian Sodinokibi / REvil baru."
Sementara sampel yang dipermasalahkan ditemukan tidak mengenkripsi file dan hanya menambahkan ekstensi acak, Secureworks telah menghubungkannya dengan kesalahan pemrograman yang diperkenalkan dalam fungsi yang mengganti nama file yang sedang dienkripsi.
Selain itu, sampel yang dibedah oleh perusahaan keamanan siber yang membawa stempel waktu 11 Maret 2022 — memasukkan perubahan penting pada kode sumber yang membedakannya dari artefak REvil lain tertanggal Oktober 2021.
Termasuk pembaruan pada dekripsi string, logika, lokasi penyimpanan konfigurasi, dan kunci publik hard-coded. Yang juga tidak kalah penting direvisi adalah domain Tor yang ditampilkan dalam catatan tebusan, yang merujuk ke situs yang sama yang ditayangkan bulan lalu.
- situs kebocoran REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
- situs pembayaran tebusan: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion
Posting Komentar