Kurikuulsa REvili lunavaraoperatsioon on Venemaa ja USA vaheliste pingete taustal taastunud uue infrastruktuuri ja muudetud krüpteerijaga, mis võimaldab sihipärasemaid ründeid.
Oktoobris suleti lunavarajõuk REvili pärast seda, kui politseioperatsioon kaaperdas selle Tor-serverid, millele järgnes liikmete vahistamine Venemaa õiguskaitseorganite poolt.
Pärast Ukraina sissetungi teatas aga Venemaa, et USA on REvili jõugu läbirääkimistest taganenud ja sidekanalid sulgenud.
REvili Tori saidid ärkavad ellu
Varsti pärast seda hakkas vana REvil Tor infrastruktuur uuesti tööle, kuid vanade veebisaitide kuvamise asemel suunas see külastajad uue nimetu lunavaraoperatsiooni jaoks URL-idele.
Kuigi need saidid ei sarnanenud varasemate REvili veebisaitidega, viitas fakt, et vana infrastruktuur suunati ümber uutele saitidele, et REvil oli tõenäoliselt taas töökorras. Lisaks sisaldasid need uued saidid uusi ohvreid ja varasemate REvili rünnakute ajal varastatud andmeid.
Kuigi need sündmused näitasid selgelt, et REvil nimetas end uueks nimetu operatsiooniks, olid Tori saidid ka varem kuvanud novembris sõnumi, et REvil on kuri.
See juurdepääs Tori saitidele tähendas, et teistel ohus osalejatel või õiguskaitseorganitel oli juurdepääs REvili TOR-i saitidele, nii et veebisaidid ise ei olnud piisavalt tugevad tõendid jõugu tagasituleku kohta.
REvili tor-saidid on rikutud REvili-vastase sõnumiga
Allikas: BleepingComputer
Ainus viis kindlalt teada saada, kas REvili on tagasi pöördunud, oli leida lunavara krüpteerija näidis ja seda analüüsida, et teha kindlaks, kas see on paigatud või kompileeritud lähtekoodist.
Uue lunavara operatsiooni krüpteerija näidis oli lõpuks avastati sel nädalal AVASTi uuringu järgi jakub kroustek ja on kinnitanud uue operatsiooni seoseid REviliga.
Lunavara näidis kinnitab tagastamist
Kuigi mõned lunavaratoimingud kasutavad REvili krüptijat, kasutavad nad kõik paigatud täitmisfaile, selle asemel, et omada otsest juurdepääsu jõugu lähtekoodile.
Mitmed turvauurijad ja pahavaraanalüütikud on aga BleepingComputerile öelnud, et uue operatsiooni käigus kasutatav avastatud REvili näidis on koostatud lähtekoodist ja sisaldab uusi muudatusi.
turvateadlane R3MRUM on säutsus et REvili näidis on muutnud oma versiooninumbri 1.0-ks, kuid see on jätk viimasele versioonile 2.08, mille REvili andis välja enne nende sulgemist.
Versiooni muutus uues REvili krüpteerijas
Vestluses BleepingComputeriga ütles teadlane, et ta ei osanud selgitada, miks krüpteerija faile ei krüpteeri, kuid usub, et see on kompileeritud lähtekoodist.
„Jah, minu hinnangul on ohutegijal lähtekood. R3MRUM ütles BleepingComputerile, et seda pole paigatud nagu 'LV Ransomware'.
Inteli edasijõudnud tegevjuht Vitali Kremez pöördprojekteeris sel nädalavahetusel ka REvili näidise ja kinnitas BleepingComputerile, et see koostati lähtekoodist 26. aprillil ja seda ei parandatud.
Kremez ütles BleepingComputerile, et uus REvili näidis sisaldab uut konfiguratsioonivälja 'accs', mis sisaldab ründe sihtmärgiks oleva konkreetse ohvri mandaate.
Kremez usub, et konfiguratsioonisuvandit 'accs' kasutatakse krüptimisest möödahiilimiseks teistes seadmetes, mis ei sisalda määratud Windowsi domeene ja kontosid, võimaldades kõrgelt sihitud rünnakuid.
Lisaks suvandile „accs” on uus REvili näidiskonfiguratsioon muutnud kampaania ja sidusettevõtte identifikaatoritena kasutatavaid SUB- ja PID-suvandeid, et kasutada pikemaid GUID-tüüpi väärtusi, näiteks „3c852cc8-b7f1-436e-ba3b -c53b7fc6c0e4”.
BleepingComputer testis ka lunavara näidist ja kuigi ta seda ei krüpteerinud, lõi see siiski lunaraha, mis on identne vanade REvili lunarahatähtedega.
REvil lunaraha märkmed
Lisaks, kuigi vanade REvili saitide ja ümbernimetatud operatsiooni vahel on mõningaid erinevusi, on ohver saidile sisselogimisel peaaegu identne algsetega, kuna ohus osalejad väidavad, et nad on 'Sodinokibi', nagu järgmisel näidatud.
Uus lunavaraoperatsioon, mis väidab end olevat Sodinokibi
Allikas: BleepingComputer
Kuigi REvili esialgne avalikkusele suunatud esindaja, tuntud kui Tundmatu, on endiselt kadunud, on ohuluure uurija Partneri turvalisus ütles BleepingComputerile, et üks REvili algsetest juhtivatest arendajatest, kes kuulus vanasse meeskonda, taaskäivitas lunavara operatsiooni.
Kuna tegemist oli põhiarendajaga, oleks loogiline, et neil oleks juurdepääs ka täielikule REvili lähtekoodile ja potentsiaalselt Tori privaatvõtmetele vanade saitide jaoks.
Pole üllatav, et REvil on uue operatsiooni käigus nimesid muutnud, eriti USA-Vene suhete languse tõttu.
Kui lunavaratoimingud aga kaubamärki vahetavad, teevad nad seda tavaliselt selleks, et vältida lunaraha maksmist takistavaid õiguskaitse või sanktsioone.
Seetõttu on ebatavaline, et REvil on oma tagastamise kohta nii avalik, selle asemel, et püüda tuvastamisest kõrvale hiilida, nagu oleme näinud paljude teiste lunavarade ümberkaubamärkide puhul.
Mida sa arvad?
