Resumen: El reconocido ransomware REvil, regresa con una nueva infraestructura y un encriptador modificado que permite a sus operadores ejecutar ataques más específicos.
REvil, también conocido como Sodin o Sodinokibi, es un popular grupo de amenazas que funciona como ransomware as a service (RaaS) y se dedica a encriptar los archivos de sus víctimas con el objetivo de pedir un rescate a cambio.
En octubre, el grupo ransomware fue detenido después de que una operación de seguridad rusa confiscara sus servidores Tor y detuviera a varios miembros de la banda.
Sin embargo, tras la invasión rusa a Ucrania, se declaró que Estados Unidos se había retirado del proceso de negociación con la banda y los canales de comunicación fueron clausurados.
A los pocos días, el sitio Tor de la banda fue reactivado, ahora con una nueva infraestructura que redirige a los usuarios a otra URL que pertenece a una operación ransomware nueva y sin nombre.
El sitio nuevo contiene información relacionada con el grupo, incluyendo los datos de víctimas de ataques pasados.
Ahora bien, aunque esto podría parecer una prueba suficiente para creer que REvil ha vuelto, los investigadores de seguridad determinaron que la mejor forma de saberlo sería encontrando una muestra del encriptador y analizarla.
La muestra fue hallada esta semana por Jakub Kroustek de Avast, quien ha confirmado los vínculos de la reciente operación con REvil.
Otro investigador ha informado que aunque la muestra contiene una supuesta versión 1.0, en realidad se trata de la continuación de la última versión (2.08) empleada por el grupo.
Del mismo modo, la muestra analizada incluye un nuevo campo de configuración apodado como “Accs”, en donde se pueden introducir las credenciales del objetivo específico al que será dirigido.
Finalmente, a pesar de que algunas de las pruebas de la muestra demuestran que el ransomware no está codificando datos, las notas de rescate son idénticas a las utilizadas en años anteriores.
Dada la posible explotación del ransomware, se le insta a todos los usuarios a mantener las mejores prácticas de ciberseguridad, así como a descargar las últimas actualizaciones disponibles.
En caso de que se conozca mayor información sobre el caso, se lo haremos saber inmediatamente.
Recomendaciones: Medidas para prevenir un ataque Ransomware Hacer copias de seguridad Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos
Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro.
Referencias: https://www.2-spyware.com/new-malware-samples-show-possible-revil-ransomware-gang-return |
SÍGUENOS