Nueva banda de ransomware está usando los sitios abandonados de la peligrosa banda REvil
Los servidores de la banda de ransomware REvil en la red TOR están activos después de meses de inactividad. Ahora están siendo utilizados por una nueva operación que se lanzó recientemente.
No está claro quién está detrás de la nueva banda relacionada con REvil. Sin embargo, el nuevo sitio de filtración muestra un gran catálogo de víctimas de ataques anteriores de REvil más dos nuevos.
Nuevo Ransomware as a Service (RaaS) en proceso
Sin embargo, hace unos días, los investigadores de seguridad pancak3 y Soufiane Tahiri notaron que el nuevo sitio de filtraciones de REvil se promocionaba en RuTOR, un foro de comercio que se enfoca en las regiones de habla rusa.
El nuevo sitio está alojado en un dominio diferente, pero conduce al original que REvil usaba cuando estaba activo.
El sitio de filtraciones proporciona detalles sobre las condiciones para los afiliados. Estos supuestamente obtienen una versión mejorada del ransomware REvil y una división 80/20 para los afiliados que cobran un rescate.
El sitio muestra 26 páginas de víctimas, la mayoría de ellas de antiguos ataques de REvil. Y, solo las dos últimas parecen estar relacionadas con la nueva operación. Uno de ellos es Oil India.
El investigador de seguridad MalwareHunterTeam en enero, un par de semanas después de que 14 presuntos miembros de la banda fueran arrestados en Rusia, dijo que a partir de mediados de diciembre del año pasado notaron actividad de una banda de ransomware diferente (Ransom Cartel) que estaba relacionada con el cifrador de REvil, aunque ninguna conexión era evidente.
Más tarde, el investigador observó que el sitio de filtraciones actual relacionado con REvil estuvo activo entre el 5 y el 10 de abril. No obstante, estuvo sin contenido, e inició actividades aproximadamente una semana después.
Otra observación de MalwareHunterTeam es que la fuente de la fuente RSS muestra la cadena Corp Leaks, que ha sido utilizada por la ahora desaparecida banda de ransomware Nefilim.
El blog y los sitios de pago funcionan en diferentes servidores. Observando el primero, el blog de la nueva banda de ransomware usa una cookie llamada DEADBEEF. Este es un término informático que fue utilizado como marcador de archivos por la banda de ransomware TeslaCrypt.
Análisis profundo
Una conexión con un actor de amenazas de ransomware no es posible en este momento. Primero se deben analizar muestras del nuevo payload basado en REvil y quienquiera que esté detrás del nuevo sitio de filtraciones aún no ha reclamado ningún nombre o afiliación.
Mientras estaba bajo el control del FBI en noviembre de 2021, los sitios de pago y filtraciones de datos de REvil mostraron una página titulada “REvil is bad”. Asimismo, un formulario de inicio de sesión, inicialmente a través de puertas de enlace TOR y en la ubicación .onion.
El misterio de los redireccionamientos, tanto recientes como del año pasado, se profundiza. Esto sugiere que alguien que no sea la policía tiene acceso a las claves privadas TOR que les permitieron realizar cambios en el sitio .onion.
En un popular foro de hackers de habla rusa, los usuarios especulan entre que la nueva banda es una estafa o un honeypot. O quizás una continuación legítima del antiguo negocio de REvil que perdió su reputación y tiene mucho que hacer para recuperarla.
Hay varias bandas de ransomware que usan los cifradores de REvil parcheados o se hacen pasar por el grupo original.
Estos incluyen LV, que estaba usando el cifrador de REvil antes de que la policía los cerrara y Ransom Cartel, que parece estar conectado a REvil. Sin embargo, el vínculo no está claro.
La caída de REvil
El ransomware REvil tuvo una larga trayectoria que comenzó en abril de 2019 como continuación de la operación GandCrab, la primera que estableció el modelo de ransomware como servicio (RaaS).
En agosto de 2019, la banda golpeó varias administraciones locales en Texas y exigió un rescate colectivo de $2.5 millones. Fue el rescate más alto en ese momento.
El grupo es responsable del ataque a la cadena de suministro de Kaseya que afectó a unas 1500 empresas. Este ataque también provocó su desaparición el año pasado cuando las autoridades de todo el mundo intensificaron su colaboración para acabar con la banda.
Poco después de atacar a Kaseya, la banda se tomó un descanso de dos meses sin saber que las autoridades habían vulnerado sus servidores. Cuando REvil reinició la operación, restauraron los sistemas a partir de copias de seguridad, sin darse cuenta del compromiso.
A mediados de enero, Rusia anunció que cerró REvil después de identificar a todos los miembros de la banda y arrestar a 14 personas.
La agencia policial rusa inició su investigación sobre REvil a partir del nombre Puzyrevsky y una dirección IP señalada por Estados Unidos como perteneciente a el principal hacker del grupo.
Por el momento, Estados Unidos dejó de colaborar con Rusia en amenazas a la seguridad cibernética, en particular ataques a infraestructuras críticas. Esto es resultado directo de la invasión a Ucrania por parte de Rusia.