5月9日，Secureworks Counter Threat Unit (CTU) 的研究人員發(fā)布的報(bào)告顯示，臭名昭著的勒索軟件 REvil(又名 Sodin 或 Sodinokibi)在銷聲匿跡一段時(shí)間后再度開始活動(dòng)。

研究人員對(duì)新發(fā)現(xiàn)的樣本進(jìn)行分析，發(fā)現(xiàn)在短時(shí)間內(nèi)已經(jīng)出現(xiàn)多個(gè)修改過的新版本，表明 REvil 再次處于積極的開發(fā)過程中。

4月20日，REvil 在 TOR 網(wǎng)絡(luò)中的數(shù)據(jù)泄露站點(diǎn)開始重定向到新的主機(jī)，這是一個(gè)明顯的復(fù)蘇信號(hào)，網(wǎng)絡(luò)安全公司 Avast 在一周后披露，他們已在野外阻止了一個(gè)看起來像新的 Sodinokibi / REvil的勒索軟件樣本變種。

根據(jù)對(duì)另一個(gè)時(shí)間戳為3月11日的樣本源代碼進(jìn)行檢查，發(fā)現(xiàn)與2021年10月的樣本相比已經(jīng)有了明顯的更改，包括對(duì)其字符串解密邏輯、配置存儲(chǔ)位置和硬編碼公鑰的更新，并修訂了贖金記錄中顯示的 Tor 域，與上個(gè)月發(fā)現(xiàn)的新 Tor 域相匹配：

REvil 泄露站點(diǎn)：blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion

REvil 贖金支付網(wǎng)站：landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion

2022 年 3 月樣本中的字符串解密邏輯更改(資料來源：Secureworks)

作為一種勒索軟件即服務(wù) (RaaS)，REvil是最早采用雙重勒索計(jì)劃的組織之一，即以泄露竊取的數(shù)據(jù)為由威脅受害者支付贖金。該勒索軟件組織自 2019 年開始運(yùn)作，在2021年7月針對(duì) Kaseya 云端系統(tǒng)供應(yīng)鏈攻擊中曾開出7000萬美元的贖金要求，創(chuàng)勒索軟件最高贖金記錄。但在2021年10月份的多國(guó)聯(lián)合執(zhí)法行動(dòng)中，REvil的服務(wù)器被查，今年1月初，俄羅斯聯(lián)邦安全局 (FSB) 在該國(guó)多地進(jìn)行突襲后，逮捕了多名組織成員。

REvil的復(fù)出被認(rèn)為與俄烏戰(zhàn)爭(zhēng)有關(guān)，就在上個(gè)月，美國(guó)單方面退出了與俄羅斯為保護(hù)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行合作的計(jì)劃。此外這也表明，勒索軟件即使被打壓或解散后，也能夠很容易的死灰復(fù)燃，當(dāng)下要徹底根除網(wǎng)絡(luò)犯罪組織可謂困難重重。

參考來源：https://thehackernews.com/2022/05/new-revil-samples-indicate-ransomware.html