بازگشت باج‌افزار REvil با حملات جدید

۲۱ شهریور ۱۴۰۰

یافته‌های جدید محققان امنیتی نشان می‌دهد که باج‌افزار REvil طی حملات جدید خود، داده‌های سرقت شده از قربانیان را در اینترنت به اشتراک می‌گذارد.

براساس اطلاعات موجود، باج‌افزار Revil فعالیت خود را از سال ۲۰۱۹ آغاز کرده و سازمان‌های مختلفی را در سراسر جهان با درخواست باج‌‌های چند میلیون دلاری در ازای تحویل کلید رمزگشایی مورد هدف قرار داده است.

تا به امروز، این باج‌افزار مسئول حمله به شرکت‌های مهمی از جمله JBS، Coop، Travelex، GSMLaw،‌ Kenneth Cole، Grupo Fleury و... بوده است.

 

غیبت چند ماهه Revil 

باج‌افزار Revil پس از بزرگ‌ترین حمله خود در ماه جولای تمامی زیرساخت‌های خود را غیرفعال کرده و ناپدید شد. این باج‌افزار در آخرین حمله خود با استفاده از بک آسیب‌پذیری روز صفر در پلتفرم مدیریت از راه دور کاسیا، موفق به رمزگذاری ۶۰ ارائه دهنده سرویس و ۱۵۰۰ کسب‌و‌کار شد و سپس برای انتشار کلید رمزگشایی برای تمامی قربانیان کاسیا، درخواست باج ۵۰ میلیون دلاری را مطرح کرد.

این باج‌افزار پس از این حمله، احتمالا به دلیل فشار‌های زیاد و احتمال دستگیری در تاریخ ۱۳ جولای سال جاری بدون انتشار کلید رمزگشایی برای قربانیان، به یکباره ناپدید شد. همچنین آخرین اخباری که از باج‌افزار Revil منتشر شده بود، مربوط به زمانی است که کاسیا یک کلید رمزگشایی را به طور رایگان دریافت کرده بود. با این حال هنوز مشخص نیست که این ابزار رمزگشایی از طرف چه کسی ارسال شده است.

 

بازگشت Revil با حملات جدید

پس از ناپدید شدن Revil، محققان اظهار کردند که این باج‌افزار احتمالا با نام جدیدی فعالیت‌های خود را آغاز خواهد کرد؛ اما گزارش‌های اخیر نشان می‌دهند که Revil مجددا با همان نام قبلی، فعالیت‌های خود را از هفته گذشته از سر گرفته است.

در تاریخ هفت سپتامبر، تقریبا دو ماه پس از ناپدید شدن این گروه، سایت انتشار داده‌های نشت شده و راه ارتباطی پرداخت آن‌ها مجددا در دسترس قرار گرفته است. در این وب‌‌سایت زمان تعیین شده برای قربانیان قبلی بازنشانی شده و میزان باج‌های درخواستی به همان میزان قبلی در ماه جولای باقی‌ مانده بودند.

با این حال تا تاریخ ۹ سپتامبر، نشانه‌ای از حملات جدید وجود نداشت تا اینکه که نسخه‌ای از یک نمونه باج‌افزار Revil که در تاریخ چهارم  سپتامبر جمع‌آوری شده بود در VirusTotal قرار گرفت. همچنین تا به امروز نیز شواهد دیگری از حملات جدید این گروه مشاهده شده است.

شواهد جدید نشان می‌دهند که نماینده این گروه نیز اکنون با فردی که قبلا رهبری این گروه را به عهده داشته است متفاوت است. این گروه همچنین با انتشار اعلامیه‌ای در وب‌سایت خود اظهار کرده است که نماینده قبلی گروه ناپدید یا احتمالا دستگیر شده است، به همین دلیل، دیگر اعضای گروه فعالیت‌های را به طور موقت متوقف کرده و اکنون با توجه به اینکه اثری از وی پیدا نکرده‌اند فعالیت‌ها را از سر گرفته‌اند.

 

توضیحات بیشتر:

REvil ransomware is back in full attack mode and leaking data