Kelompok REvil Muncul Kembali Setelah Berbulan-bulan Tidak Aktif
Analisis sampel ransomware baru menunjukkan bahwa operasi ransomware terkenal yang dikenal sebagai REvil (alias Sodin atau Sodinokibi) telah kembali setelah tidak aktif selama 6 bulan.
"Analisis sampel ini mengungkapkan bahwa pengembang memiliki akses ke kode sumber REvil, memperkuat kemungkinan bahwa kelompok ancaman telah muncul kembali," kata pakar Secureworks Counter Threat Unit (CTU) dalam sebuah laporan yang dirilis Senin.
"Identifikasi banyak sampel dengan berbagai perubahan bervariasi dalam waktu yang singkat, serta kurangnya versi baru resmi, menunjukkan bahwa REvil sekali lagi dalam pengembangan aktif intensif."
REvil, kependekan dari Ransomware Evil, adalah skema ransomware-as-a-service (RaaS) yang terkait dengan Gold Southfield, sebuah kelompok berbasis/berbahasa Rusia yang muncul tak lama setelah aktivitas GandCrab menurun dan yang terakhir menyatakan pensiun.
Itu juga salah satu kelompok pertama yang mengeksploitasi strategi pemerasan ganda, di mana data yang dicuri dari pelanggaran digunakan untuk membangun lebih banyak tekanan dan memaksa korban untuk membayar.
Kelompok REvil, telah aktif sejak 2019, menjadi berita utama tahun lalu karena serangan tingkat tinggi terhadap JBS dan Kaseya, menyebabkan kelompok tersebut secara resmi menutup toko pada Oktober 2021 setelah upaya penegakan hukum membajak infrastruktur server mereka.
Awal bulan ini, beberapa anggota sindikat kejahatan dunia maya ditangkap oleh Federal Security Service (FSB) Rusia menyusul pencarian di 25 lokasi berbeda di negara itu.
April 7th, 2022: Moscow states they are no longer cooperating with the United States regarding the infamous REvil ransomware group
— vx-underground (@vxunderground) April 20, 2022
April 19th, 2022: REvil's TOR domain reappears. This includes newly ransomed companies.
Intel via @S0ufi4n3 pic.twitter.com/aqD7QTzqUc
Pada 20 April, situs kebocoran data REvil di jaringan TOR mulai dialihkan ke host baru, dan seminggu kemudian, perusahaan keamanan siber Avast mengungkapkan bahwa mereka telah memblokir sampel ransomware di alam liar "yang terlihat seperti varian Sodinokibi / REvil baru."
A few hours ago, we blocked a #ransomware sample in-the-wild that looks like a new #Sodinokibi / #REvil variant. Timestamp 2022-04-27, new config, new mutex, campaign ID, etc. Funny thing... it does not encrypt files; only adds a random extension 🤔 42 BTC https://t.co/UL1ECGLpmg pic.twitter.com/A8p5SLjcZr
— Jakub Kroustek (@JakubKroustek) April 29, 2022
Sementara sampel yang dipermasalahkan ditemukan tidak mengenkripsi file dan malah menambahkan ekstensi acak, Secureworks mengaitkan ini dengan kesalahan pemrograman yang dibuat dalam fungsi yang mengganti nama file terenkripsi.
Selanjutnya, sampel baru yang dianalisis oleh perusahaan keamanan siber – dengan stempel waktu 11 Maret 2022 – memiliki perubahan penting pada kode sumber yang membedakannya dari artefak REvil lain tertanggal Oktober 2021.
Ini termasuk peningkatan pada mekanisme dekripsi string, lokasi penyimpanan konfigurasi, dan kunci publik hard-coded. Domain Tor yang ditampilkan dalam pesan tebusan juga telah diperbarui, merujuk ke situs yang sama yang ditayangkan bulan lalu -
- Situs kebocoran REvil : blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
- Situs pembayaran tebusan REvil : landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion
Kebangkitan REvil juga kemungkinan terkait dengan invasi berkelanjutan Rusia ke Ukraina, yang mendorong Amerika Serikat untuk mundur dari usulan kerjasama yang dijanjikan antara kedua negara untuk melindungi infrastruktur utama.
Jika ada, perkembangan menunjukkan bahwa pelaku ransomware bubar hanya untuk merakit kembali dan mengubah citra di bawah identitas yang berbeda, mengambil tepat di mana mereka tinggalkan, menggarisbawahi kesulitan dalam memberantas sepenuhnya kelompok penjahat dunia maya.