Le rançongiciel REvil/Sodinokibi est à nouveau en cours de développement actif, et ses opérateurs d’origine sont probablement responsables, selon une analyse menée par la Secureworks Counter Threat Unit (CTU), qui a publié ses conclusions le 9 mai 2022.
L’équipe CTU a analysé deux échantillons de REvil soumis à VirusTotal, un vers la fin mars et un fin avril. Ils disent que ces échantillons démontrent clairement que le développeur a accès au code source de REvil, ce qui implique fortement que son opérateur – suivi sous le nom de Gold Southfield par Secureworks – est définitivement de retour en jeu.
Rob Pantazopoulos, consultant senior pour la recherche sur la sécurité de l’information chez Secureworks, a déclaré à Computer Weekly que l’équipe était en mesure de passer cet appel avec un degré de confiance considérable.
“Quiconque exploite actuellement REvil a accès au code source du rançongiciel et à des parties de l’ancienne infrastructure utilisée pour le prendre en charge”, a-t-il déclaré.
« Il est possible que certains ou tous les membres de Gold Southfield aient été libérés par les autorités russes et qu’ils soient maintenant retournés aux opérations. Il est également plausible que tous les membres n’aient pas été arrêtés en premier lieu et aient redémarré l’opération, avec ou sans nouveaux membres – ou qu’un affilié de confiance de Gold Southfield ait repris l’opération avec la bénédiction du groupe. En fait, c’est ainsi que le groupe a commencé lui-même; les exploitants de Gandcrab, Gold Garden, ont pris leur retraite et vendu leur exploitation à un groupe affilié que nous appelons maintenant Gold Southfield.
Vers la fin avril 2022, de nouveaux renseignements ont suggéré que les gangs REvil et Conti intensifiaient leurs opérations – REvil ayant soi-disant été retiré du tableau dans une piqûre coordonnée d’application de la loi, et Conti ayant été endommagé par la fuite de ses secrets par un affilié mécontent.
Dans le cas de REvil, quelqu’un prétendant représenter le groupe a fait surface le 20 avril, date à laquelle les serveurs de REvil sur le réseau Tor se sont révélés être dirigés vers une opération apparemment nouvelle, suggérant une connexion avec des membres de gangs encore en liberté, ou un nouvel opérateur. .
Il y avait des spéculations à l’époque selon lesquelles, compte tenu de la guerre en Ukraine, le gang aurait peut-être reçu l’autorisation tacite de reprendre le ciblage des victimes par les autorités russes, qui avaient auparavant contribué à sa supposée chute. Pantazopoulos a suggéré que c’était une possibilité distincte.
« À notre avis, l’attitude de l’État russe envers les cybercriminels à motivation financière est au mieux ambivalente et au pire complice, tant que cette criminalité n’entre pas en conflit avec les intérêts de l’État russe », a-t-il déclaré.
“Il nous semble invraisemblable qu’il n’y ait pas de relation entre des éléments de l’État russe et des forces de l’ordre et certains de ces groupes, mais l’étendue de ces relations reste incertaine.
« Et malgré la rhétorique et une ou deux actions positives, telles que les arrestations de certains des membres de Gold Southfield au début de 2022, une perturbation soutenue des forces de l’ordre russes dans les principales opérations de cybercriminalité a toujours semblé peu probable. Après l’invasion de l’Ukraine et la réponse occidentale qui en a résulté, la Russie est encore moins incitée à collaborer avec les forces de l’ordre occidentales.
Modifications
Secureworks a déclaré que l’échantillon de mars contient un certain nombre de modifications qui le distinguent de REvil tel qu’il était en octobre 2021.
Celles-ci incluent la mise à jour de la logique de déchiffrement des chaînes pour s’appuyer sur un nouvel argument de ligne de commande, qui est peut-être une tentative d’empêcher les défenseurs ou les chercheurs de faire exploser des échantillons dans un bac à sable ; une mise à jour des clés publiques codées en dur de REvil ; les modifications apportées à la façon dont REvil suit les données des affiliés ; la suppression des vérifications de régions interdites, ce qui signifie vraisemblablement que REvil s’exécutera désormais en Ukraine s’il s’y trouve ; et l’inclusion de nouveaux domaines Tor dans la note de rançon, qui correspondent aux nouveaux domaines Tor trouvés le mois dernier.
L’échantillon d’avril, initialement souligné par Jakub Kroustek d’Avastcontenait des fonctionnalités presque identiques, moins les changements de décryptage de chaîne, mais contenait également un bogue qui l’empêchait de crypter les fichiers de la victime mais de les renommer avec une extension aléatoire – cela semble être une erreur de codage de la part du développeur.
Secureworks s’est arrêté avant d’être averti des attaques imminentes de ransomware par REvil. Pantazopoulos a déclaré : « Il est trop tôt pour dire comment les opérations REvil pourraient évoluer au fil du temps. Il y a actuellement quatre victimes postées sur le site de la fuite, et ce taux est en deçà de son pic de 2021. Cependant, il existe de nombreux échantillons REvil avec diverses modifications indiquant un développement actif, et nous avons observé des tentatives de recrutement d’affiliés sur des forums clandestins, il est donc tout à fait possible que leurs niveaux d’activité augmentent rapidement.
Néanmoins, l’entreprise suggère qu’à l’heure actuelle, les défenseurs utilisent les contrôles existants pour examiner et restreindre l’accès à leurs réseaux. Une liste complète des indicateurs et des domaines peut être trouvée dans son article de blog.
