Новые семплы REvil подтвердили возврат грозного шифровальщика
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Новые семплы REvil подтвердили возврат грозного шифровальщика

Татьяна Никитина 11 Мая 2022 - 16:55
...
Новые семплы REvil подтвердили возврат грозного шифровальщика

Анализ образцов REvil/Sodinokibi, обнаруженных в марте и апреле, показал их функциональное сходство с семплом полугодовой давности. Эксперты Secureworks также обнаружили модификации кода, которые позволяют говорить о новом цикле разработки и возобновлении операций, связанных с этим шифровальщиком.

По словам исследователей, изменения привносились в код постепенно и пока оформлены как версия 1.0.0 (найденный в октябре схожий образец был помечен как версия 2.08). Аналитики убеждены, что создатель новых семплов имел доступ к исходникам REvil — это также подтверждают данные BleepingComputer.

Ответственность за реанимацию увядшего RaaS-сервиса (Ransomware-as-a-Service, шифровальщик как услуга) эксперты возлагают на бывшего аффилиата —кибергруппу, которую в Secureworks отслеживают под именем Gold Southfield. Напомним, в ИБ-сообществе заговорили о возможном возврате REvil после обнаружения в сети Tor новых сайтов зловреда — для публикации данных, украденных у жертв (свыше 250 организаций с 2019 года), и для контроля платежей.

В конце прошлого месяца Avast сообщила о выявлении нового семпла REvil. Обновленный зловред оказался не в состоянии шифровать файлы, он только добавлял к ним случайное расширение — как оказалось, из-за бага. Проведенное в Secureworks исследование показало, что вирусописатель нашел ошибку и должным образом исправил.

Аналитики также отметили ряд нововведений, в том числе следующие:

  • скорректирована логика расшифровки строк кода (введен новый аргумент командной строки);
  • изменен способ хранения конфигурационной структуры и 32-байтового ключа дешифрации в секции данных;
  • заменены вшитые в код публичные ключи (один из них используется для защиты ключа, создаваемого зловредом для шифрования файлов, другой — для защиты сессионных данных, таких как ID аффилиата, имя жертвы, информация о дисках и т. п.);
  • изменен формат отслеживания аффилиатов (теперь с этой целью используется GUID);
  • отключены проверки региональных настроек системы, то есть REvil стал космополитом;
  • узаконены новые onion-домены — они теперь присутствуют в тексте записки с требованием выкупа, которую шифровальщик оставляет в системе.

Примечательно, что владельцы возрожденного RaaS-сервиса предпочитают именовать его Sodinokibi — видимо, чтобы избавиться от ассоциаций с громкими атаками REvil, из-за которых прежние операции пришлось свернуть.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

UserGate продлил сертификат ФСТЭК России на межсетевой экран uNGFW
Екатерина Быстрова 15 Апреля 2026 - 20:41
UserGate DCFW Корпорации Сетевая безопасностьМежсетевой экранМежсетевые экраны нового поколения (NGFW) UserGate
UserGate продлил сертификат ФСТЭК России на межсетевой экран uNGFW

Компания UserGate сообщила о продлении сертификата соответствия № 3905 ФСТЭК России на свой межсетевой экран UserGate NGFW (uNGFW). Обновлённый сертификат подтверждает, что продукт по-прежнему соответствует актуальным требованиям регулятора.

На практике это означает, что uNGFW можно использовать в государственных информационных системах, системах персональных данных, а также на объектах критической информационной инфраструктуры и в других средах, где сертификация ФСТЭК является обязательным или значимым требованием.

В компании отдельно отметили, что продление прошло без перерыва между окончанием действия прежнего сертификата и получением нового. То есть формально продукт не выпадал из сертифицированного статуса.

Одновременно в сертификат включили и новую версию uNGFW 7.5 LTS, которую UserGate готовит к коммерческому запуску в ближайшие недели. Речь идёт о версии с длительной поддержкой: для неё заявлен двухлетний срок сопровождения с момента релиза.

По информации компании, в версии 7.5 LTS появились новый кластерный механизм с VMAC, Unicast и Preemption control, поддержка uClient с DTLS VPN для разных операционных систем, а также поддержка новых аппаратных платформ собственной разработки — B50-B, X10, C151 и D250.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Android подключает Gemini к борьбе с телефонными мошенниками
Новость
Android подключает Gemini к борьбе с телефонными мошенниками
Мошенники добрались до министра Камчатки в MAX
Новость
Мошенники добрались до министра Камчатки в MAX
Кибератаки под видом жалоб пациентов накрыли российские больницы
Новость
Кибератаки под видом жалоб пациентов накрыли российские боль...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.