安全公司发现顽强的勒索软件revil在经过几个月的蛰伏后,近日又在网络上传播。
gold southfield黑客组织是revil raas(ransomware as a service)的作者及运行组织,2019年4月开始活动,它使用名为name-and-shame手法,在泄密网站发布受害者资讯及吸收同盟。revil曾黑入过宏碁、大型医院及it管理商kaseya等知名企业,去年一度沉寂,9月间又出现在暗网上,10月被美国及其他政府警方联手关闭传播的网络。今年初俄罗斯政府还曾逮捕多名相关黑客。不过乌俄战事爆发似乎也影响俄国政府的态度,而让黑客组织再度蠢动。
今年4月研究人员发现俄语论坛市场rutor公布新的revil泄密网站,这个网站使用不同的域名。新泄密网站兜售新版revil勒索软件及招募同谋,以及发布20多家受害企业名单及外泄资料。
最近,secureworks研究人员更发现,revil勒索软件的样本出现在恶意程序分析平台virustotal。分析样本显示,新的revil完成于3月,和上个月发现的新外泄网站有关。种种迹象令研究人员相信去年遭重创的黑客组织gold southfield又再度活动。新版revil除了使用不同的tor域名外,也使用了新的指令行语言、加密密钥、以及多处程序代码。
新的受害者可能快速增加。secruityweek报道,现在黑客新泄密网站发布的受害者已增至250多家。