Злогласната група за откупни софтвер REvil повторно се појави, според неколку безбедносни истражувачи кои ги следат нејзините напади.
Групата ги прекина своите операции по втор пат во октомври, откако во порака објавена на хакерски форум тврдеше дека изгубиле контрола врз нивните домени TOR. Подоцна се покажа дека за тоа е одговорна полиција на неколку земји.
Во јануари, руската Федерална служба за безбедност изврши 25 претреси на куќи во сопственост на 14 лица осомничени дека се дел од тимот REvil низ Москва, Санкт Петербург, Ленинград и Липецк. Московскиот суд подоцна обвини осум лица кои наводно биле членови на банда.
Но, пред три недели, истражувачите открија дека серверите за откупни софтвер REvil повторно работат. Обновен е и блогот на групата.
Крис Шедоу, висок аналитичар за сајбер закани од Digital Shadows, го поврза враќањето на групата со тековните односи меѓу Русија и Соединетите Држави, бидејќи каналите за комуникација воспоставени за решавање на прашањата за сајбер безбедноста по руската инвазија на Украина беа нарушени.
„Потенцијалното враќање на РЕвил се совпаѓа со затворањето на каналот за дијалог за да се разговара за прашањата за сајбер безбедноста меѓу Соединетите Држави и Русија. може да ги рестартираат своите операции, по апсењето на неколку членови во јануари 2022 година“, изјави Морган за The Record.
Тој вели дека е „нејасно кој точно го координира враќањето на REvil“ – можеби тоа бил еден од поранешните членови на REvil или некој кој имал пристап до изворниот код и инфраструктурата што претходно ги користела групата. Морган додаде дека анализата на изворниот код што го користел REvil во последните напади покажала дека се случиле промени. Примерокот што го анализираше Морган не ги шифрира датотеките, што може да се објасни или како оперативна грешка или дека некој се обидува да ја искористи репутацијата на групата.
Единицата за борба против закани Secureworks објави детална анализа на новиот примерок REvil. Според таа анализа, лицето кое стои зад враќањето на групата имало пристап до оригиналниот изворен код и делови од старата инфраструктура и активно развива ransomware. Според Одделението за борба против закани на Secureworks, можно е да не се уапсени сите членови на групата и да започнат нова операција или некој огранок на групата да ја презел операцијата со благослов на групата.
