Злогласната ransomware група REvil повторно се појави, според неколку безбедносни истражувачи кои ги следат нејзините напади.
Групата ги прекина своите операции по втор пат во октомври, откако во порака објавена на хакерски форум тврдеше дека изгубиле контрола врз нивните домени TOR. Подоцна се покажа дека за тоа е заслужна полицијата на неколку земји.
Во јануари, руската Федерална служба за безбедност изврши 25 претреси на куќи во сопственост на 14 лица осомничени дека се дел од тимот REvil низ Москва, Санкт Петербург, Ленинград и Липецк. Московскиот суд подоцна обвини осум лица кои наводно биле членови на бандата.
Но, пред три недели, истражувачите открија дека серверите на REvil ransomware повторно работат. Обновен е и блогот на групата.
Крис Морган, висок аналитичар за сајбер закани од Digital Shadows, го поврза враќањето на групата со тековните односи меѓу Русија и Соединетите Држави, бидејќи каналите за комуникација воспоставени за решавање на прашањата за сајбер безбедноста по руската инвазија на Украина беа нарушени.
„Потенцијалното враќање на REvil се совпаѓа со затворањето на каналот за дијалог за да се разговара за прашањата за сајбер безбедноста меѓу Соединетите Држави и Русија. Како резултат на тоа, реално е можно руските власти да ја откажале истрагата за групата или на друг начин им укажаа на операторите на REvil дека би можеле да ги рестартираат своите операции, по апсењето на неколку членови во јануари 2022 година“, изјави Морган за The Record.
Тој вели дека е „нејасно кој точно го координира враќањето на REvil“ – можеби тоа бил еден од поранешните членови на REvil или некој кој имал пристап до изворниот код и инфраструктурата што претходно ги користела групата. Морган додаде дека анализата на изворниот код што го користел REvil во последните напади покажала дека се случиле промени. Примерокот што го анализираше Морган не ги шифрира фајловите, што може да се објасни или како оперативна грешка или дека некој се обидува да ја искористи репутацијата на групата.
Secureworks Counter Threat Unit објави детална анализа на новиот примерок REvil. Според таа анализа, лицето кое стои зад враќањето на групата имало пристап до оригиналниот изворен код и делови од старата инфраструктура и активно развива ransomware. Според Secureworks Counter Threat Unit, можно е да не се уапсени сите членови на групата и да започнале нова операција или некој огранок на групата да ја презел операцијата со благослов на REvil.