REvil勒索软件以新版本回归,正在积极开发中一定时间后再次开始活动。研究人员分析新发现的样本,发现短时间内出现了多个新的和修改的版本,表明REvil又在积极开发中。4月20日,TOR网络上的REvil数据泄露站点开始重定向到新主机,这是一个明显的卷土重来迹象,网络安全公司Avast一周后透露,它已经在野外阻止了一个看似新主机的主机。Sodinokibi/REvil勒索软件样本变体。通过查看另一个时间戳为3月11日的样本源码发现,与2021年10月的样本相比,有明显的变化,包括其字符串解密逻辑、配置存储位置、硬编码等。public钥的更新,并修订了赎金记录中显示的Tor域,与上个月发现的新Tor域相匹配:REvil泄露站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onionREvil赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion2022年3月样本中字符串解密逻辑发生变化(来源:Secureworks)作为勒索软件即服务(RaaS),REvil是最早采用双重勒索方案的组织之一,威胁受害者为泄露被盗数据支付赎金。该勒索集团自2019年开始运作,并于2021年7月在对Kaseya云系统供应链的攻击中索要7000万美元赎金,创下勒索病毒最高勒索赎金记录。然而,在2021年10月的一次多国联合执法行动中,REvil的服务器遭到调查。今年1月初,俄罗斯联邦安全局(FSB)对该国多地进行突击搜查后,多名该组织成员被捕。REvil的卷土重来被认为与俄乌战争有关,而就在上个月,美国单方面退出了与俄罗斯合作保护关键基础设施的计划。此外,这也说明勒索病毒即使在被打压或解散后,也很容易卷土重来。目前要彻底铲除网络犯罪组织难度很大。参考来源:https://thehackernews.com/2022/05/new-revil-samples-indicate-ransomware.html
