Sikkerhedsforskere siger, at den berygtede ransomware REvil, også kendt som Sodinokibi, er vendt tilbage efter at have ligget lavt i seks måneder.
REvil/Sodinokibi Ransowmare Banden vender tilbage
Ifølge Secureworks modtrussel Enhed (CTU) forskere, analyse af nogle for nylig uploadede prøver til VirusTotal viser, at "udvikleren har adgang til REvils kildekode, forstærker sandsynligheden for, at trusselsgruppen er dukket op igen." Udseendet af flere prøver med forskellige ændringer på så kort tid betyder højst sandsynligt, at dets operatører i øjeblikket arbejder på nye versioner.
Forskellige bemærkelsesværdige ændringer er blevet indarbejdet i REvils kildekode i de prøver, som sikkerhedsfirmaet analyserede, inklusive opdateringer til dens strengdekrypteringslogik, konfigurationslagringsstedet, og de hårdkodede offentlige nøgler. De tilknyttede Tor-domæner, der vises i løsesumnotaen, ændres også. Forskere formoder, at tilbagekomsten af Sodinokibi/REvil er forbundet med begivenhederne mellem Rusland og Ukraine.
I september 2021, Bitdefender udgav et universelt dekrypteringsværktøj til at hjælpe REvil-ofre med at gendanne deres krypterede filer. Dekrypteringen blev udviklet med betroede retshåndhævende partnere, ifølge virksomhedens erklæring. Dekrypteringsprogrammet virkede kun med filer, der var krypteret før juli 13 samme år.
I juli 2021, Kaseya, det firma, der blev ramt af et omfattende REvil ransomware-angreb, sagde den fik den officielle dekrypteringsnøgle, tre uger efter angrebet fandt sted.