REvil вернулась — новый образец вредоносного ПО группировки обнаружен в интернете

[душман]

В начале этого года сотрудники ФСБ России провели задержание восьми человек, которые, предположительно, являлись членами хакерской группировки REvil, а также взяли под контроль используемую ими IT-инфраструктуру. Однако некоторое время назад TOR-сайты REvil вернулись в работу, а позднее в сети был обнаружен новый образец вредоносного программного обеспечения, которое использовалось хакерами во время атак.

Арест предполагаемых участников REvil был проведён по запросу США в рамках сотрудничества в сфере кибербезопасности. Это связано с тем, что основные цели атак хакеров с помощью вымогательского ПО находились в США. Однако после обострения ситуации на Украине американское правительство в одностороннем порядке прекратило сотрудничество и вышло из переговорного процесса по REvil.

Несколько недель назад специалисты в сфере информационной безопасности обратили внимание на то, что используемые ранее TOR-сайты REvil вернулись в работу. При этом на них не было старой информации, они использовались для перенаправления посетителей на URL-адреса, якобы новой хакерской группировки. На тот момент говорить о возвращении REvil было преждевременно, поскольку новые образцы вымогательского ПО хакеров не были выявлены.

Теперь же стало известно, что сотрудник компании Avast Якуб Кроустек обнаружил в интернете вирус-вымогатель, который может являться модифицированным шифровальщиком REvil. Отметим, что другие хакерские группировки также использовали шифровальщик REvil в прошлом, но, как правило, они не имели доступа к исходному коду вируса, поэтому не могли самостоятельно его модифицировать.

По мнению ряда специалистов, обнаруженный недавно вредонос скомпилирован из исходного кода REvil, но в нём содержатся изменения. Отмечается, что, хотя номер версии обнаруженного образца 1.0, по сути он является продолжением шифровальщика REvil 2.08, который был создан ещё до прекращения деятельности группировки. Вернувшиеся в работу сайты REvil перенаправляют посетителей на сайт группировки Sodinokibi, которая, предположительно, является автором модифицированного шифровальщика. 

Этот сайт во многом схож с тем, что в прошлом использовали хакеры из REvil. Хотя представитель REvil, известный под ником Unknown, пока не выходил на связь, исследователи считают, что один из основных разработчиков вымогателя группировки перезапустил вредоносную кампанию под другим именем. При этом отмечается, что для REvil не свойственно публично заявлять о своём возвращении, поскольку прежде хакеры предпочитали тщательно скрывать свою деятельность.