شبیهسازی باج افزار REvil توسط یک گروه هکری
به گزارش کارگروه امنیت سایبربان؛ افرادی ناشناس باج افزار ریویل (REvil) را شبیهسازی کرده و بدافزاری به نام الوی (LV) طراحی کردهاند که رایانههای مبتنی بر سیستمعامل ویندوز را هدف قرار میدهد.
بر طبق گزارش شرکت «Secureworks»، یک گروه جرائم سایبری مستقل به نام «Gold Northfield» این باج افزار را ساخته و منتشر کرده است. نخستین حملات واقعی گروه مذکور در ماه اکتبر 2020 ثبتشده است.
به گفته کارشناسان، اپراتورهای الوی به باینریای که رمزگذاری واقعی را در حملات ریویل بر عهده داشته، دسترسی پیداکردهاند. سپس با استفاده از هگز ادیتور این باینری و فایل پیکربندی آن را تغییر دادهاند. درنتیجه این تغییرات، باج افزار الوی را ایجاد کردهاند. هکرها روش استخراج و انتقال دادههای مسروقه توسط بدافزار را نیز تغییر دادهاند.
تیم «Secureworks» براین باور است سازندگان ریویل یا سورس کد باج افزار را یک زمانی فروختهاند، یا آن را سرقت کردهاند. این احتمال نیز وجود دارد که گروه «Gold Southfield» در قالب شراکت و همکاری کد بدافزار را با گروه دیگری به اشتراک گذاشته است.
الوی برخلاف ریویل بهعنوان سرویس (RaaS) در فرومهای هکری ارائه نمیشود و در حملات آن نیز از سیستم پرداخت باج مبتنی بر تور استفاده میشود
به باور محققان، به نظر میرسد اپراتورهای الوی نسخه بتا REvil 2.03 را اصلاح کرده و درنهایت به باج افزار الوی تبدیل کردهاند. علیرغم سرقت کد بدافزار، الوی هنوز از نظر زیرساختهای داخلی مانند ریویل نیست. بهعنوانمثال، الوی سرورهای فرماندهی و کنترلی را که ریویل برای ردیابی آلودگیها مورد استفاده قرار میدهد، حذف کرده و آنها را با سرورهای اختصاصی نیز جایگزین نکرده و این بخش را خالی گذاشته است.
باج افزار ریویل که به «Sodinokibi» نیز شهرت دارد بهعنوان سرویس به گروههای سایبری مختلفی اجاره داده میشود. این بدافزار قابلیتهای بسیاری داشته و ردیابی عملیات آن بسیار دشوار است.
این بدافزار در ردیف مشهورترین باج افزارهای حال حاضر ازجمله «Netwalker» ،«DopplePaymer» ،«Maze» و «Ryuk» قرار گرفته است.