Operasi ransomware terkenal yang dikenal sebagai REvil (alias Sodin atau Sodinokibi) telah dilanjutkan setelah enam bulan tidak aktif, analisis sampel ransomware baru telah terungkap.
“Analisis sampel ini menunjukkan bahwa pengembang memiliki akses ke kode sumber REvil, memperkuat kemungkinan bahwa kelompok ancaman telah muncul kembali,” kata peneliti dari Secureworks Counter Threat Unit (CTU) dalam sebuah laporan yang diterbitkan Senin.
“Identifikasi beberapa sampel dengan berbagai modifikasi dalam waktu singkat dan kurangnya versi baru resmi menunjukkan bahwa REvil sedang dalam pengembangan aktif yang berat sekali lagi.”
REvil, kependekan dari Ransomware Evil, adalah skema ransomware-as-a-service (RaaS) dan dikaitkan dengan kelompok berbasis/berbahasa Rusia yang dikenal sebagai Gold Southfield, muncul tepat saat aktivitas GandCrab menurun dan yang terakhir mengumumkan pengunduran diri mereka.
Ini juga salah satu kelompok paling awal yang mengadopsi skema pemerasan ganda di mana data yang dicuri dari penyusupan digunakan untuk menghasilkan pengaruh tambahan dan memaksa korban untuk membayar.
Beroperasi sejak 2019, grup ransomware menjadi berita utama tahun lalu karena serangan profil tinggi mereka terhadap JBS dan Kaseya, mendorong geng tersebut untuk secara resmi menutup toko pada Oktober 2021 setelah tindakan penegakan hukum membajak infrastruktur servernya.
Awal Januari ini, beberapa anggota sindikat kejahatan dunia maya ditangkap oleh Layanan Keamanan Federal (FSB) Rusia setelah penggerebekan yang dilakukan di 25 lokasi berbeda di negara itu.
Kebangkitan yang nyata datang sebagai situs kebocoran data REvil di jaringan TOR mulai mengalihkan ke host baru pada 20 April, dengan perusahaan keamanan siber Avast mengungkapkan seminggu kemudian bahwa mereka telah diblokir sampel ransomware di alam liar “yang terlihat seperti varian Sodinokibi / REvil baru.”
Sementara sampel yang dipermasalahkan ditemukan tidak mengenkripsi file dan hanya menambahkan ekstensi acak, Secureworks telah menghubungkannya dengan kesalahan pemrograman yang diperkenalkan dalam fungsi yang mengganti nama file yang sedang dienkripsi.
Selain itu, sampel baru yang dibedah oleh perusahaan keamanan siber — yang membawa stempel waktu 11 Maret 2022 — memasukkan perubahan penting pada kode sumber yang membedakannya dari artefak REvil lain tertanggal Oktober 2021.
Ini termasuk pembaruan logika dekripsi string, lokasi penyimpanan konfigurasi, dan kunci publik hard-coded. Juga direvisi adalah domain Tor yang ditampilkan dalam catatan tebusan, merujuk ke situs yang sama yang ditayangkan bulan lalu –
- Situs kebocoran REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]Bawang
- Situs pembayaran tebusan REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]Bawang
Kebangkitan REvil juga kemungkinan terkait dengan invasi Rusia yang sedang berlangsung ke Ukraina, setelah itu AS mundur dari usulan kerjasama bersama antara kedua negara untuk menjaga infrastruktur penting.
Jika ada, perkembangannya adalah tanda lain bahwa pelaku ransomware bubar hanya untuk berkumpul kembali dan mengubah citra dengan nama yang berbeda dan melanjutkan dari tempat mereka tinggalkan, menggarisbawahi kesulitan dalam membasmi kelompok penjahat dunia maya sepenuhnya.