REvil Ransomware Kembali dengan Kekuatan Baru

REvil Ransomware Muncul Kembali - Analisis terhadap sampel ransomware terbaru mengekspos kembalinya operasi ransomware yang dikenal sebagai REvil (juga dikenal sebagai Sodin atau Sodinokibi) setelah tidak aktif selama setengah tahun. Ahli dari Secureworks Counter Threat Unit (CTU) menyatakan dalam laporan yang dirilis pada hari Senin bahwa "analisis sampel ini mengungkapkan developer memiliki akses ke source code REvil, memperkuat kemungkinan bahwa kelompok ancaman ini telah muncul kembali."

Kelompok REvil, atau Ransomware Evil, dikenal sebagai skema ransomware-as-a-service (RaaS) yang terkait dengan Gold Southfield, kelompok hacker berbahasa Rusia yang muncul setelah aktivitas GandCrab menurun. Mereka pertama kali muncul dengan taktik pemerasan ganda, memanfaatkan data yang dicuri untuk memberikan tekanan tambahan dan memaksa korban membayar.

Sejak aktif pada tahun 2019, REvil menjadi sorotan utama pada tahun lalu dengan serangan hebat terhadap JBS dan Kaseya. Serangkaian kejadian ini akhirnya membuat kelompok tersebut menutup tokonya pada Oktober 2021 setelah upaya penegakan hukum berhasil membajak infrastruktur server mereka. Namun, awal bulan ini, beberapa anggota kelompok ini ditangkap oleh Federal Security Service (FSB) Rusia setelah pencarian di 25 lokasi berbeda.

April 7th, 2022: Moscow states they are no longer cooperating with the United States regarding the infamous REvil ransomware group

April 19th, 2022: REvil's TOR domain reappears. This includes newly ransomed companies.

Intel via @S0ufi4n3 pic.twitter.com/aqD7QTzqUc

— vx-underground (@vxunderground) April 20, 2022

Sampel ransomware baru yang dianalisis oleh Secureworks pada tanggal 11 Maret 2022 menunjukkan perubahan signifikan pada source codenya. Peningkatan pada mekanisme dekripsi string, lokasi penyimpanan konfigurasi, dan hard coded public key menjadi ciri khas baru. Meskipun sampel tersebut tidak mengenkripsi file, Secureworks mengaitkannya dengan kesalahan pemrograman dalam fungsi yang mengganti nama file terenkripsi.

Update situs kebocoran dan pembayaran REvil pada bulan April juga menjadi sorotan. Situs kebocoran REvil, dengan domain blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion, serta situs pembayaran tebusan landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion, menunjukkan kemungkinan kembalinya REvil.

Kembalinya REvil juga dapat terkait dengan invasi berkelanjutan Rusia ke Ukraina, yang memaksa Amerika Serikat untuk menarik diri dari rencana kerjasama yang dijanjikan untuk melindungi infrastruktur kritis. Ini menunjukkan bahwa pelaku ransomware tidak berhenti begitu saja, melainkan bubar hanya untuk kembali dengan identitas baru. Ini menyoroti kesulitan dalam memberantas sepenuhnya kelompok cybercriminal.

Untuk melindungi diri dari ancaman ransomware, penting untuk meningkatkan cybersecurity awareness dan mengimplementasikan langkah-langkah keamanan yang efektif. Penggunaan multi-factor authentication (MFA) dapat memberikan lapisan tambahan perlindungan, sementara pemahaman tentang cara mengembalikan file yang terkena ransomware menggunakan alat dekripsi ransomware dapat membantu meminimalkan dampak serangan.

Kesadaran dan tindakan proaktif dalam keamanan siber menjadi kunci untuk melawan ancaman yang terus berkembang dari kelompok hacker seperti REvil.