De cyberkriminelle bag GandCrab ransomware-as-a-service (RaaS) tilbuddet meddelte for nylig, at de lukkede butikken og gik på pension efter at have tjent mere end 2 milliarder dollars i betalinger fra ofre. Men et voksende antal beviser tyder nu på, at GandCrab-holdet i stedet er i smug omgrupperet bag et mere eksklusivt og avanceret ransomware-program, der er kendt som “Revil”, “Sodin” eller “Sodinokibi.”
“Vi får os en velfortjent pension nu,” skrev GandCrab-administratoren i sin farvelemeddelelse den 31. maj. “Vi er et levende bevis på, at du kan svindle og slippe afsted med det.”
Nu ser det ud til, at GandCrab-holdet allerede er begyndt at forberede sig til at lancere et langt mere avanceret privat ransomware-as-a-service-tilbud i form af REvil ransomware, bare få måneder efter deres officielle “pension”.
I slutningen af april opdagede forskere hos Cisco Talos en ny ransomware-stamme, der hed Sodinokibi, der blev brugt til at implementere GandCrab, som krypterer filer på inficerede systemer, medmindre og indtil offeret betaler det krævede beløb. En måned senere kom GandCrab ud og meddelte sin lukning.
Her er hvad vi ved indtil vidre:
Navn | REvil |
Aka | Sodinokibi/Soden |
Type | Ransomware |
Cipher | Salsa20 |
File forlængelse | Randomly generated |
Relaterede filer | sodinokibi.exe |
Ransom note | [random]-readme.txt or HOW-TO-DECRYPT.txt |
Løsepenge | $2,500 hvilket fordobler efter 5 dage |
Distribution | CVE-2019-2725, CVE-2018-8453, Rig exploit kit, spam emails, unprotected RDP, etc. |
Decryptering | Filer kan kun dekrypteres ved hjælp af sikkerhedskopier. Alternativt kan brugerne prøve at bruge tredjeparts gendannelses software. |
Termination | Brug en effektiv anti-malware software, som for eksempel Panda eller SpyHunter |