No início deste ano, oficiais russos do FSB detiveram oito pessoas que supostamente eram membros do grupo de hackers REvil e também assumiram o controle da infraestrutura de TI que eles usam. No entanto, há algum tempo, os sites REvil TOR voltaram a funcionar e, posteriormente, uma nova amostra de software malicioso foi descoberta na rede, que foi usada por hackers durante os ataques.
Fonte da imagem: Bleep Computer
A prisão dos supostos participantes do REvil foi realizada a pedido dos Estados Unidos como parte da cooperação no campo da segurança cibernética. Isso se deve ao fato de que os principais alvos de ataques de hackers usando ransomware estavam nos Estados Unidos. No entanto, após o agravamento da situação na Ucrânia, o governo dos EUA cessou unilateralmente a cooperação e retirou-se do processo de negociação do REvil.
Algumas semanas atrás, especialistas em segurança da informação notaram que os sites REvil TOR usados anteriormente estavam novamente em operação. Ao mesmo tempo, eles não tinham informações antigas, eram usados para redirecionar os visitantes para URLs, supostamente um novo grupo de hackers. Naquela época, era prematuro falar sobre o retorno do REvil, já que não foram identificadas novas amostras de hackers de ransomware.
Agora ficou conhecido que o funcionário da Avast, Jakub Kroustek, descobriu um vírus ransomware na Internet, que pode ser um criptografador REvil modificado. Observe que outros grupos de hackers também usaram o ransomware REvil no passado, mas, como regra, eles não tinham acesso ao código-fonte do vírus, portanto, não podiam modificá-lo.
De acordo com vários especialistas, o malware descoberto recentemente foi compilado a partir do código-fonte do REvil, mas contém alterações. Nota-se que, embora o número da versão da amostra detectada seja 1.0, na verdade ela é uma continuação do criptografador REvil 2.08, que foi criado antes mesmo do término das atividades do grupo.
Os sites REvil que voltaram a funcionar redirecionam os visitantes para o site do grupo Sodinokibi, que, presumivelmente, é o autor do ransomware modificado. Este site é semelhante em muitos aspectos ao usado pelos hackers REvil no passado. Embora o representante do REvil, conhecido pelo apelido Unknown, ainda não tenha sido contatado, os pesquisadores acreditam que um dos principais desenvolvedores do grupo de ransomware reiniciou a campanha maliciosa com um nome diferente. Ao mesmo tempo, nota-se que não é comum o REvil anunciar publicamente seu retorno, já que antes os hackers preferiam esconder cuidadosamente suas atividades.