Il gruppo ransomware REvil è tornato ufficialmente: attiva nuova variante del virus

Ormai è ufficiale: il gruppo ransomware REvil è tornato attivo proprio nel mezzo delle crescenti tensioni tra Russia e Occidente, avviando una nuova operazione con infrastruttura rinnovata e virus modificato per condurre attacchi più mirati e sfuggire ai decryptor gratuiti.

La chiusura effettuata dalle autorità russe lo scorso gennaio sembrerebbe avere raggiunto una fase di stallo nel momento in cui, dopo l'invasione dell'Ucraina, la Casa Bianca e il Cremlino avrebbero chiuso i canali di comunicazione durante il processo di negoziazione successivo all’arresto di alcuni membri della gang. Così facendo, la vecchia infrastruttura REvil su TOR ha ripreso a funzionare dando vita a una operazione ransomware inedita e senza nome effettivo, soltanto con reindirizzazione ai vecchi portali Web della banda.

Stando agli ultimi report di Avast ripresi da Bleeping Computer, dunque, esiste a tutti gli effetti una variante inedita del vecchio ransomware modificata appositamente per stare al passo con i tempi: il campione ottenuto dai ricercatori di cybersicurezza ha il numero 1.0 ma non è altro che l’aggiornamento della vecchia versione 2.08, e risulta compilato dal codice sorgente il 26 aprile 2022 senza le correzioni necessarie affinché funzioni a tutti gli effetti.

Ciononostante, la build in possesso degli esperti svela già alcune modifiche chiave alla configurazione che consentirebbero infine attacchi mirati verso account specifici; inoltre, la richiesta di riscatto risulta essere identica a quelle una volta diffuse da REvil. Ciò conferma ulteriormente la tesi iniziale: il famigerato REvil è di nuovo pronto a incutere timore.