El ransomware REvil/Sodinokibi está nuevamente en desarrollo activo, y sus operadores originales son probablemente los responsables, según un análisis realizado por Secureworks Counter Threat Unit (CTU), que publicó sus hallazgos el 9 de mayo de 2022.
El equipo de CTU analizó dos muestras de REvil enviadas a VirusTotal, una a fines de marzo y otra a fines de abril. Dicen que estas muestras demuestran claramente que el desarrollador tiene acceso al código fuente de REvil, lo que implica fuertemente que su operador, rastreado como Gold Southfield por Secureworks, definitivamente está nuevamente en juego.
Rob Pantazopoulos, consultor senior de investigación de seguridad de la información en Secureworks, dijo a Computer Weekly que el equipo pudo hacer esta llamada con un grado considerable de confianza.
“Quienquiera que ahora esté operando REvil tiene acceso al código fuente del ransomware y partes de la antigua infraestructura utilizada para respaldarlo”, dijo.
“Es posible que algunos o todos los miembros de Gold Southfield hayan sido liberados por las autoridades rusas y que ahora hayan regresado a sus operaciones. Es igualmente plausible que no todos los miembros hayan sido arrestados en primer lugar y hayan reiniciado la operación, con o sin nuevos miembros, o que un afiliado de confianza de Gold Southfield se haya hecho cargo de la operación con la bendición del grupo. De hecho, así es como comenzó el grupo; los operadores de Gandcrab, Gold Garden, se retiraron y vendieron su operación a un grupo afiliado que ahora llamamos Gold Southfield”.
Hacia fines de abril de 2022, nueva inteligencia sugirió que tanto las pandillas REvil como Conti estaban intensificando sus operaciones: REvil supuestamente había sido sacado del tablero en una operación coordinada de aplicación de la ley, y Conti había sido dañado por la filtración de sus secretos por un afiliado descontento.
En el caso de REvil, alguien que pretendía representar al grupo apareció el 20 de abril, momento en el que se descubrió que los servidores de REvil en la red Tor se dirigían a una operación aparentemente nueva, lo que sugiere una conexión con pandilleros que aún están prófugos o un nuevo operador. .
En ese momento, se especuló que, dada la guerra en Ucrania, las autoridades rusas podrían haber dado permiso tácito a la pandilla para reanudar el ataque a las víctimas, que anteriormente fueron fundamentales en su supuesta caída. Pantazopoulos sugirió que esta era una posibilidad distinta.
“Desde nuestro punto de vista, la actitud del estado ruso hacia los ciberdelincuentes con motivación financiera es, en el mejor de los casos, ambivalente y, en el peor, cómplice, siempre que esa delincuencia no entre en conflicto con los intereses del estado ruso”, dijo.
“Nos parece plausible que no haya alguna relación entre los elementos del estado ruso y las fuerzas del orden y algunos de estos grupos, pero el alcance de tales relaciones sigue sin estar claro.
“Y a pesar de la retórica y una o dos acciones positivas, como los arrestos de algunos de los miembros de Gold Southfield a principios de 2022, la interrupción sostenida de las principales operaciones de delitos cibernéticos por parte de las fuerzas del orden rusas siempre parecía poco probable. Después de la invasión de Ucrania y la consiguiente respuesta occidental, Rusia tiene aún menos incentivos para colaborar con las fuerzas del orden occidentales”.
Modificaciones
Secureworks dijo que la muestra de marzo contiene una serie de modificaciones que la distinguen de REvil tal como era en octubre de 2021.
Estos incluyen la actualización de la lógica de descifrado de cadenas para basarse en un nuevo argumento de línea de comandos, que posiblemente sea un intento de evitar que los defensores o investigadores detonen muestras en una caja de arena; una actualización de las claves públicas codificadas de forma rígida de REvil; cambios en la forma en que REvil rastrea los datos de los afiliados; la eliminación de controles de regiones prohibidas, lo que presumiblemente significa que REvil ahora se ejecutará en Ucrania si se encuentra allí; y la inclusión de nuevos dominios Tor en la nota de rescate, que coinciden con los nuevos dominios Tor encontrados el mes pasado.
La muestra de abril, inicialmente destacado por Jakub Kroustek de Avastcontenía una funcionalidad casi idéntica, menos los cambios en el descifrado de cadenas, pero también contenía un error que provocaba que no cifrara los archivos de la víctima, sino que los renombrara con una extensión aleatoria; esto parece ser un error de codificación por parte del desarrollador.
Secureworks no llegó a advertir sobre ataques inminentes de ransomware por parte de REvil. Pantazopoulos dijo: “Es demasiado pronto para decir cómo se desarrollarán las operaciones de REvil con el tiempo. Actualmente hay cuatro víctimas publicadas en el sitio de la fuga, y esta tasa no alcanza su pico de 2021. Sin embargo, hay numerosas muestras de REvil con varias modificaciones que indican un desarrollo activo, y hemos observado intentos de reclutar afiliados en foros clandestinos, por lo que es muy posible que sus niveles de actividad aumenten rápidamente”.
Sin embargo, la firma sugiere que en este momento los defensores usen los controles existentes para revisar y restringir el acceso a sus redes. Puede encontrar una lista completa de indicadores y dominios en su publicación de blog.