Исследователи Secureworks Counter Threat Unit (CTU) проанализировали образцы вымогательского ПО REvil, загруженные в аналитический сервис VirusTotal после возобновления активности инфраструктуры группы GOLD SOUTHFIELD в апреле 2022 года. Инфраструктура была закрыта с октября 2021 года. Анализ этих образцов показывает, что у разработчика есть доступ к исходному коду REvil, что усиливает вероятность того, что группа возобновила свою деятельность. Выявление нескольких образцов, содержащих различные модификации, и отсутствие официальной новой версии указывают на то, что REvil находится в стадии активной разработки.
GOLD SOUTHFIELD
Образец от 22 марта содержит артефакты в своей конфигурации, которые указывают на вероятную связь с жертвой, опубликованной на сайте утечки REvil в апреле. Несмотря на значение версии 1.00, образец имеет временную метку компиляции 2022-03-11 14:30:49 и включает функциональность образца версии 2.08, выявленного исследователями CTU™ в октябре 2021 года.
Обновлена логика расшифровки строк с учетом нового аргумента командной строки: Изменение логики расшифровки строк влияет на способность REvil успешно выполняться. Для успешного выполнения должен предоставить REvil заранее определенное четырехбайтовое целочисленное значение от 0 до 4294967295 (0xFFFFFFFF). REvil использует это значение в процессе расшифровки строки для расчета длины ключа расшифровки RC4 и смещения зашифрованной строки. Предыдущие образцы REvil использовали жестко закодированные значения длины и смещения.
Indicators of Compromise
Domains
- landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion
- blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion
MD5
- ad49374e3c72613023fe420f0d6010d9
- db2401798c8b41b0d5728e5b6bbb94cf
SHA1
- eb563ab4caca7e19bdeee807b025ab2d54e23624
- 6620f5647a14e543d14d447ee2bd7fecc03be882
SHA256
- 0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8
- 861e2544ddb9739d79b265aab1e327d11617bc9d9c94bc5b35282c33fcb419bc