Geral 4min de Leitura - 06 de maio de 2022

Grupo REvil ransomware está de volta

grupo REvil

This post is also available in: Português

O grupo REvil ransomware voltou com uma nova infraestrutura e uma amostra de malware atualizada com um criptografador modificado para ataques mais direcionados. As atividades do servidor Tor do REvil foram identificadas há algumas semanas.

O grupo havia encerrado suas atividades em outubro do ano passado, depois que uma operação das autoridades sequestrou os servidores Tor utilizados pelo grupo. Os membros do REvil foram presos pelas autoridades russas.

Porém, após os conflitos com a Ucrânia, a Rússia afirmou que os EUA se retiraram do processo de negociação sobre o grupo REvil e fecharam os canais de comunicação.

Após isso, a antiga infraestrutura do REvil começou a operar novamente, mas em vez de mostrar os sites antigos, eles redirecionavam os visitantes para uma nova operação de ransomware sem nome.

Esses sites não se pareciam com os sites anteriores do REvil, mas a infraestrutura antiga redirecionava para esses novos sites, o que indicava que o REvil provavelmente estava operando novamente.

Além disso, esses novos sites continham uma mistura de novas vítimas e dados roubados durante ataques REvil anteriores.

O retorno dos sites do grupo REvil

Os sites Tor exibiram em novembro uma mensagem afirmando que “REvil é ruim”.

Então, apesar dos fortes indícios de que o grupo estava de volta com uma nova operação ainda sem nome, tudo indicava que outros cibercriminosos ou policiais tinham acesso aos sites Tor do REvil. Os sites não eram provas suficientes para afirmar que o grupo estava de volta.

Para ter certeza de que o grupo havia retornado, era necessário encontrar uma amostra do criptografador do ransomware e analisa-lo para determinar se ele foi corrigido ou compilado a partir do código fonte.

Na semana passada, através de um pesquisador da AVAST, Jakub Kroustek, uma amostra do criptografador da nova operação de ransomware foi finalmente descoberta. Isso confirmou os laços da nova operação com o REvil.

Retorno confirmado pela amostra

Apesar de algumas operações de ransomware estarem usando o criptografador do REvil, todas elas usam executáveis corrigidos em vez de ter acesso direto ao código-fonte do grupo.

Vários pesquisadores de segurança e analistas de malware informaram ao BleepingComputer que a amostra REvil descoberta, usada pela nova operação é compilada a partir do código-fonte, e inclui novas alterações.

O pesquisador de segurança R3MRUM twittou que a amostra do REvil teve seu número de versão alterado para 1.0, mas é uma continuação da última versão, 2.08, lançada pelo REvil antes de ser encerrada.

O pesquisador não conseguiu explicar por que o criptografador não criptografa arquivos, mas acredita que foi compilado a partir do código-fonte.

Vitali Kremez, CEO da Intel, também fez engenharia reversa da amostra REvil neste final de semana, e confirmou que ela foi compilada a partir do código-fonte em 26 de abril, e não foi corrigida.

Segundo Kremez, a nova amostra REvil inclui um novo campo de configuração ‘accs’, que contém credenciais para a vítima específica que o ataque está mirando.

Ele acredita que a opção de configuração ‘accs’ é utilizada para evitar a criptografia em outros dispositivos que não contêm as contas e domínios do Windows especificados, permitindo ataques altamente direcionados.

Além da opção ‘accs’, a configuração da nova amostra REvil modificou as opções SUB e PID, usadas como identificadores de campanha e afiliados, para usar valores mais longos do tipo GUID, como ‘3c852cc8-b7f1-436e-ba3b-c53b7c6coe4.’

Além disso, reproduz uma nota de resgate que é muito semelhante as antigas notas de resgate do REvil.

grupo REvil nota
Nota de resgate REvil. Fonte: BleepingComputer.

Já se tornou uma tendencia entre os grupos de ransomware mudar a marca para evitar repreensão ou sanções das autoridades. Por este motivo, é inesperada a movimentação de retorno do REvil. Alguns especialistas acreditam que este pode ser um novo truque para confundir os profissionais de segurança.

No entanto, é sempre recomendável manter as medidas de segurança para afastar essas ameaças.

Proteja-se contra ransomwares

Além dos softwares de proteção contra ataques cibernéticos, é recomendado que o usuário siga as melhores práticas de uso das tecnologias. A atenção precisa ser redobrada ao clicar em links de e-mails e abrir anexos, assim como manter os programas e sistema operacional atualizados, além de investir em acesso remoto seguro, com uso de VPN, para suportar a nova realidade de trabalho remoto, que ganhou espaço nos últimos anos.

Invista também em serviços especializados de segurança que visam identificar falhas na estrutura, reduzindo a efetividade de ataques que exploram vulnerabilidades de segurança na estrutura da empresa, como é o caso do Pentest.

Pentest é a abreviação de Penetration Test (Teste de Penetração, em tradução literal), e também é conhecido como teste de intrusão, pois faz a detecção minuciosa de vulnerabilidades.

Durante a execução de um Pentest, são utilizadas ferramentas específicas para realizar a intrusão, dependendo da abordagem definida para a execução do teste.
pentest
Assim, analistas de tecnologia tem a possibilidade de conhecer mais a fundo suas fraquezas e onde precisam melhorar. Os esforços e investimentos em Segurança da Informação passarão a ser focados nas debilidades da empresa, elevando os níveis de segurança e dificultando a ação de cibercriminosos.

Precisando de auxílio para execução do Pentest em sua empresa? Conheça o serviço oferecido pela OSTEC com foco em Pentest e conte com a experiência de especialistas certificados para realização desta atividade.

Fonte: BleepingComputer.

This post is also available in: Português