Il gruppo ransomware REvil potrebbe essere risorto dalle sue ceneri. O almeno è quello che lascia pensare il fatto che i suoi server nella rete TOR sono tornati a operare dopo mesi di inattività, e ora reindirizzano a una nuova operazione ransomware lanciata di recente. La cosa preoccupa perché REvil era stato protagoniste di decine di attacchi gravi, fra cui quello celebre alla supply chain di Kaseya.

In particolare, gli esperti hanno trovato traccia di un sito di rivendicazione nuovo di zecca, promosso sul forum in lingua russa RuTOR, che è ospitato su un dominio diverso da quello originario di REvil, però reindirizza a quello originale a cui REvil si appoggiava quando era attivo. Su tale sito si trovano dettagli sulle condizioni contrattuali per gli affiliati, che presumibilmente beneficiano di una versione migliorata del ransomware originale, e di una ripartizione degli incassi dei riscatti in proporzione di 80/20: 20% ai gestori e 80% agli affiliati.

Il sito include anche 26 pagine con gli elenchi delle vittime di REvil: per la maggior parte sono aziende note per essere state bersagliate dagli attacchi di REvil, ma ci sono anche due new entry che sembrano correlate alla nuova operazione, fra cui Oil India. Stando al tracciamento di un ricercatore di sicurezza di MalwareHunterTeam, l'attuale sito di rivendicazione sarebbe stato attivo verso la metà di aprile. Il reindirizzamento non è la proverbiale pistola fumante, piuttosto è un indizio a cui lavorare per capire se la minaccia è tornata in auge o meno.

È infatti da annotare che esistono più gruppi ransomware che hanno usato l’encryptor di REvil prima che le chiavi fossero sequestrate dalle forze dell’ordine. Oltre a gruppi che impersonano quello originale, anche se risulta che il gruppo ransomware che reindirizza dal sito di rivendicazione originale di REvil sia diverso da quelli noti che sfruttavano in passato i payload di REvil.

Il mormorio del dark web non è di aiuto: su un popolare forum hacker in lingua russa alcuni utenti parlano della nuova operazione ransomware come di una truffa o un’esca, altri di un proseguimento del vecchio business REvil, che dopo le vicissitudini dello scorso anno deve darsi da fare per riguadagnare credibilità.

Le vicissitudini di REvil

REvil è stato uno dei gruppi ransomware più conosciuti e temuti per diverso tempo, e ha dalla sua diversi primati. Ha iniziato le attività nell'aprile 2019 ed è stato fra i primi ad adottare il modello del ransomware-as-a-service (RaaS). Nell'agosto 2019 ha attaccato diverse amministrazioni locali texane, chiedendo un riscatto collettivo di 2,5 milioni di dollari, che in quel momento era la cifra più alta mai vista.

Oltre alla sopraccitata Kaseya, ha colpito circa 1.500 aziende. Lo spartiacque è stato proprio Kaseya: l’attacco è stato di portata talmente ampia che le forze dell'ordine di tutto il mondo hanno intensificato la propria collaborazione per smantellare le attività di REvil. Per cercare di salvarsi, gli affiliati hanno dismesso le attività per un paio di mesi, durante i quali le forze dell’ordine hanno ottenuto il controllo di alcuni dei server.

Quando i criminali informatici hanno ripristinato i sistemi da un backup collegato alla rete, hanno inconsapevolmente riavviato anche i sistemi che erano ormai sotto il controllo delle forze dell'ordine. Un'imprudenza che ha rivoltato contro di loro la stessa arma che usano negli attacchi ransomware.

Presunti esponenti di REvil sono stati arrestati nei mesi successivi in Romania e in Russia. Si riteneva ormai che il gruppo si fosse definitivamente disperso, con gli affiliati approdati a nuove operazioni, fra cui la più nota è BlackMatter. Ma forse la storia è tutt’altro che finita.