کمیته رکن چهارم – هکرها باجافزار REvil را شبیهسازی کرده و بدافزار جدیدی به نام الوی (LV) منتشر کردند.
افرادی ناشناس باجافزار ریویل (REvil) را شبیهسازی کرده و بدافزاری به نام الوی (LV) طراحی کردهاند که رایانههای مبتنی بر سیستمعامل ویندوز را هدف قرار میدهد.
یک گروه جرائم سایبری مستقل به نام Gold Northfield این باجافزار را ساخته و منتشر کرده است. نخستین حملات واقعی گروه مذکور در ماه اکتبر ۲۰۲۰ ثبتشده است.
به گفته کارشناسان، اپراتورهای الوی به باینریای که رمزگذاری واقعی را در حملات ریویل بر عهده داشته، دسترسی پیداکردهاند. سپس با استفاده از هگز ادیتور این باینری و فایل پیکربندی آن را تغییر دادهاند. درنتیجه این تغییرات، باج افزار الوی را ایجاد کردهاند. هکرها روش استخراج و انتقال دادههای مسروقه توسط بدافزار را نیز تغییر دادهاند.
تیم Secureworks براین باور است سازندگان ریویل یا سورس کد باج افزار را یک زمانی فروختهاند، یا آن را سرقت کردهاند. این احتمال نیز وجود دارد که گروه Gold Southfield در قالب شراکت و همکاری کد بدافزار را با گروه دیگری به اشتراک گذاشته است.
الوی برخلاف ریویل بهعنوان سرویس (RaaS) در فرومهای هکری ارائه نمیشود و در حملات آن نیز از سیستم پرداخت باج مبتنی بر تور استفاده میشود
به باور محققان، به نظر میرسد اپراتورهای الوی نسخه بتا REvil ۲.۰۳ را اصلاح کرده و درنهایت به باج افزار الوی تبدیل کردهاند. علیرغم سرقت کد بدافزار، الوی هنوز از نظر زیرساختهای داخلی مانند ریویل نیست. بهعنوانمثال، الوی سرورهای فرماندهی و کنترلی را که ریویل برای ردیابی آلودگیها مورد استفاده قرار میدهد، حذف کرده و آنها را با سرورهای اختصاصی نیز جایگزین نکرده و این بخش را خالی گذاشته است.
باجافزار ریویل که به Sodinokibi نیز شهرت دارد بهعنوان سرویس به گروههای سایبری مختلفی اجاره داده میشود. این بدافزار قابلیتهای بسیاری داشته و ردیابی عملیات آن بسیار دشوار است.
این بدافزار در ردیف مشهورترین باجافزارهای حال حاضر ازجمله Netwalker ،DopplePaymer ،Maze و Ryuk قرار گرفته است.
منبع : سایبربان
