REvil è tornato: il famigerato gruppo ransomware riprende le operazioni

REvil è tornato: il famigerato gruppo ransomware riprende le operazioni

Il ransomware che ha colpito bersagli di alto profilo sta tornando attivo dopo le operazioni di contrasto effettuate negli scorsi mesi. Alla base del ritorno, il deterioramento dei rapporti tra USA e Russia

di pubblicata il , alle 16:41 nel canale Sicurezza
 

Torna alla ribalta il famigerato ransomware REvil, le cui operazioni erano state chiuse lo scorso mese di ottobre a seguito di un intervento delle forze dell'ordine con il dirottamento dei server Tor e l'arresto, da parte delle forze dell'ordine russe, dei membri della banda che manovrava il ransomware.

Il conflitto russo-ucraino ha però cambiato le carte in tavola, con la Russia che ha dichiarato agli USA il ritiro dal processo di negoziazione per la banda REvil, sospendendo ogni comunicazione. E' bastato poco perché la vecchia infrastruttura Tor di REvil tornasse a funzionare, indirizzando però i visitatori non ai vecchi siti web ma a nuovi URL per operazioni ransomware senza nome.

Per confermare che si trattasse del ritorno di REvil è stato necessario riuscire ad individuare un campione del crittografo ransomware e analizzarlo per determinare se derivasse dal codice sorgente originario. Il ritrovamento e l'analisi sono stati effettuati ad opera del ricercatore Jakub Kroustek di AVAST, che ha confermato i legami della nuova campagna ransomware con REvil.

Il fatto che REvil abbia ripreso le operazioni dopo le conseguenze del conflitto in Ucraina e il progressivo deteriorarsi delle relazioni tra Russia e Stati Uniti non è una sorpresa. Ciò che invece è insolito è il fatto che tutto stia avvenendo alla luce del sole, quando di norma questo genere di operazioni avvengono a seguito di una sorta di "rebranding", per poter eludere le forze dell'ordine o quelle sanzioni che impediscono il pagamento dei riscatti. 

REvil ha condotto in passato numerose campagne rivolte verso bersagli di alto profilo come ad esempio nel 2019 l'attacco allo studio legale di celebrità come Madonna, gli U2 e Lady Gaga, oppure le infiltrazioni presso il produttore Quanta Computer, o ancora il noto attacco all'impianto statunitense di distribuzione carburanti Colonial Pipeline, seguito settimane dopo da quello a JBS, azienda di lavorazione carni.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie02 Maggio 2022, 16:49 #1
it does not encrypt files; only adds a random extension

Geni assoluti.
Pagare per il nulla.
e computazionalmente costa nulla.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^