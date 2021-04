Il ransomware REvil torna a mietere vittime dopo l’attacco ad Acer e la richiesta di 50 milioni di dollari, ma in una forma decisamente nuova. Gli hacker avrebbero infatti aggiornato REvil perfezionando il tipo di attacco facendo sì che il virus sia in grado di cambiare la password di accesso della vittima e riavviare il computer in Safe Mode.

Stando a quanto riportato anche dagli esperti di Bleeping Computer, notoriamente interessati all’ambito cybersecurity per PC, dispositivi mobili e non solo, il ricercatore R3MRUM ha scoperto che gli autori delle minacce basate su ransomware REvil nel corso dell’ultimo mese avrebbero modificato il codice rendendolo in grado di crittografare i file della vittima riavviando il sistema operativo Windows 10 in modalità provvisoria.

Questo passaggio renderebbe l’offensiva molto più pericolosa in quanto, così facendo, il ransomware non verrà più interrotto da backup e server con privilegi più elevati, aggirando dunque i meccanismi di sicurezza utilizzati dall’utente. Appena prima, però, REvil cambierà la password dell'utente e riconfigurerà alcuni valori di registro per consentire a Windows di accedere automaticamente con le informazioni di autenticazione aggiornate. Nella versione identificata da R3MRUM e in quelle caricate su VirusTotal negli ultimi due giorni, la password impostata da REvil risultava essere “DTrump4ever”; non è noto se, alla luce di questa scoperta, ora i malintenzionati l’hanno già modificata.

Le metodologie post-attacco sarebbero altrettanto differenti, dato che il team dietro REvil ha avvertito le ultime vittime che esse e i loro business partner, se presenti nelle e-mail, riceveranno anche attacchi DDoS (Denial-of-Service) nel caso del mancato pagamento del riscatto richiesto. Insomma, un deciso cambio di tattiche e operazioni per forzare sempre più utenti a pagare le quote chieste dagli hacker.

