В начале этого года сотрудники ФСБ России провели задержание восьми человек, которые, предположительно, являлись членами хакерской группировки REvil, а также взяли под контроль используемую ими IT-инфраструктуру. Однако некоторое время назад TOR-сайты REvil вернулись в работу, а позднее в сети был обнаружен новый образец вредоносного программного обеспечения, которое использовалось хакерами во время атак.

Теперь же стало известно, что сотрудник компании Avast Якуб Кроустек (Jakub Kroustek) обнаружил в интернете вирус-вымогатель, который может являться модифицированным шифровальщиком REvil. Отметим, что другие хакерские группировки также использовали шифровальщик REvil в прошлом, но, как правило, они не имели доступа к исходному коду вируса, поэтому не могли самостоятельно его модифицировать.

По мнению ряда специалистов, обнаруженный недавно вредонос скомпилирован из исходного кода REvil, но в нём содержатся изменения. Отмечается, что, хотя номер версии обнаруженного образца 1.0, по сути он является продолжением шифровальщика REvil 2.08, который был создан ещё до прекращения деятельности группировки.

Вернувшиеся в работу сайты REvil перенаправляют посетителей на сайт группировки Sodinokibi, которая, предположительно, является автором модифицированного шифровальщика. Этот сайт во многом схож с тем, что в прошлом использовали хакеры из REvil. Хотя представитель REvil, известный под ником Unknown, пока не выходил на связь, исследователи считают, что один из основных разработчиков вымогателя группировки перезапустил вредоносную кампанию под другим именем. При этом отмечается, что для REvil не свойственно публично заявлять о своём возвращении, поскольку прежде хакеры предпочитали тщательно скрывать свою деятельность.