بازگشت انتقام جویانه گروه هکری روسی

نمونه‌های بدافزار جدید تایید می کنند گروه باج گیر مخوف REvil پس از این که سال گذشته تعطیل شد، با زیرساخت جدید و یک رمزنگار تغییر یافته، فعالیتش را ازسرگرفته است.

این گروه باج افزار در اکتبر سال ۲۰۲۱ چند روز پس از این که مقامات اجرایی طی یک عملیات سرورهای Tor این گروه را تحت کنترل درآوردند، تعطیل شد و سپس چندین نفر از اعضای مهم این گروه توسط سرویس امنیت فدرال روسیه دستگیر شدند.

پس از حمله روسیه به اوکراین که روابط میان مسکو و آمریکا را تیره کرد، دولت آمریکا به صورت یکجانبه کانال ارتباطی که در زمینه امنیت سایبری با مسکو داشت را بست. در نتیجه آمریکا از فرآیند مذاکرات در خصوص گروه REvil، کنار رفت.

در حالی که به نظر می رسید گروه REvil برای همیشه تعطیل شده است اما زیرساخت Tor قدیمی این گروه اخیرا دوباره فعالیتش را آغاز کرده است. طبق گزارش وب سایت بلیپینگ کامپیوتر، با این حال به جای نشان دادن وب سایتهای قدیمی، سرورهای Tor این گروه، بازدیدکنندگان را به آدرسهای URL متعلق به یک عملیات باج افزاری بدون نام هدایت می‌کنند.

این وب سایتها مرتب به آدرس دیگری انتقال پیدا می کنند به همین دلیا یافتن یک نمونه از رمزنگار گروه REvil و تحلیل آن، تنها راه برای گفتن این است که آیا این گروه باج گیر بازگشته است یا خیر.

محققان امنیتی متعددی در گفت و گو با بلیپینگ کامپیوتر، تایید کرده‌اند که نمونه جدید از رمزنگار مورد استفاده یک گروه باج گیر جدید از کد سورس REvil تهیه شده است. با این حال تغییرات جدیدی پیدا کرده است. محقق امنیتی R۳MRUM گفته است اگرچه نسخه نمونه شناسایی شده، شماره یک است اما در واقع ادامه نسخه رمزنگار شماره ۲.۰۸ است که گروه REvil پیش از تعطیل شدن، منتشر کرده بود.

ویتالی کریمز، از اینتل هم توانست با مهندسی معکوس نمونه مورد بحث، تایید کند که از کد سورس REvil تهیه شده و ترمیم نشده است.

اگرچه نماینده عمومی گروه REvil معروف به “ناشناس”، ناپدید شده است اما یک محقق به بلیپینگ کامپیوتر گفت: یکی از طراحان اصلی این گروه، عملیات را تحت نام جدیدی راه اندازی کرده است.

بر اساس گزارش وب سایت تِک رادار، در مقطع فعلی هنوز اطلاعاتی درباره نام گروه باج افزاری تغییرنام یافته REvil وجود ندارد اما انتظار می رود حملات باج افزاری بزرگ بیشتری علیه اهداف مهم و ارزشمند در جهان انجام بگیرد.