[ad_1]
Novas evidências surgiram de que o notório REvil ransomware está de volta com força overall, pois amostras recém-descobertas apontam para o fato de que o grupo agora é indiscriminado na escolha de seus alvos.
Pesquisadores de segurança cibernética da Secureworks analisaram novos malware amostras enviadas recentemente para o VirusTotal e chegaram à conclusão de que quem estava por trás disso provavelmente teve acesso ao código-fonte do REvil no passado.
Isso levou os pesquisadores a acreditar que este é provavelmente o mesmo grupo cujas operações foram encerradas no ultimate de 2021.
Nada está fora dos limites mais
“A identificação de várias amostras contendo diferentes modificações e a falta de uma nova versão oficial indicam que o REvil está em desenvolvimento ativo”, disseram os pesquisadores em um put up no weblog anunciando a notícia.
Um novo web site de vazamento do REvil foi lançado recentemente. Esta amostra mais nova, bem como uma amostra mais antiga, descoberta em outubro do ano passado, apontam para o REvil estar ativo novamente.
Nessas novas versões, os pesquisadores detectaram atualizações na lógica de descriptografia de strings, fazendo com que ela dependesse de um novo argumento de linha de comando. As chaves públicas codificadas foram atualizadas, bem como o native de armazenamento de configuração e o formato de dados para rastreamento de afiliados.
Mas talvez a maior mudança seja a remoção de regiões fora dos limites. Versões mais antigas do REvil verificariam a localização geográfica do endpoint infectado e, se ele atendesse a determinados critérios (por exemplo, se estivesse em uma comunidade de língua russa), não seria ativado.
Este não é mais o caso.
“A amostra REvil de outubro de 2021 removeu o código que verificava que o ransomware não estava sendo executado em um sistema que residia em uma região proibida”, escreveram os pesquisadores da CTU. “Esta remoção permitiu que o REvil fosse executado em qualquer sistema, independentemente de sua localização.”
O REvil foi inicialmente fechado após uma operação conjunta EUA-Rússia, com os russos prendendo mais de uma dúzia de membros.
Como a invasão da Ucrânia pela Rússia azedou as relações entre ela e os EUA, o governo dos EUA foi em frente e fechou unilateralmente o canal de comunicação que tinha sobre segurança cibernética com Moscou. Como resultado, os EUA também se retiraram do processo de negociação sobre o REvil.
Antes da análise da Secureworks, outras empresas de segurança cibernética alertaram sobre o ressurgimento do REvil, incluindo Avast, Complicated Intel, R3MRUM e outros.
Através da: O registro
[ad_2]
Fonte da Notícia
:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2022/4/E/VQKp7NQCG33oCyEojvgQ/unnamed.jpg "Hyper Entrance, jogo de tiro no estilo de Valorant, é lançado para Android | Jogos de tiro")