Con alcuni ritocchi nel codice torna a far paura su Windows il ransomware REvil. La nuova versione permetterebbe di eseguire nuove operazioni tra cui il cambio della password e la crittografia in modalità provvisoria. 
Ne avevamo parlato lo scorso marzo in occasione del maxi attacco ransomware condotto ai danni di Acer con la violazione della rete aziendale tramite le vulnerabilità dei server Exchange; a conseguenza di cui era stato richiesto un riscatto di 50 milioni di dollari, una delle cifre maggiori di sempre.
In quel caso, una volta fatto accesso ai computer della rete dell’azienda Taiwanese, il gruppo di cybercriminali avrebbe usato il ransomware REvil; riuscendo a crittare una gran quantità di dati.
Ora, a distanza di qualche settimana, REvil torna a far parlare di sè. Come riporta il sito di sicurezza informatica Bleeping Computer, con una versione che presenterebbe nuove modalità di attacco per danneggiare i computer su cui gira il sistema operativo Windows.
REvil, il ransomware si ripresenta su Windows con nuove funzionalità
La nuova incarnazione del ransomware REvil sembrerebbe impiegare nuove funzionalità mirate ad evitare il controllo dei sistemi di difesa del sistema operativo di casa Microsoft.
Già a marzo scorso proprio Bleeping Computer aveva segnalato una versione del malware che implementava l’avvio della crittografia dei dati forzando il sistema al riavvio in modalità provvisoria; proprio per eliminare ogni possibile intervento “esterno” di antivirus o software di sicurezza.
Ma se prima il tool malevolo richiedeva l’intervento manuale dell’utente per l’immissione delle credenziali d’accesso alla modalità provvisoria, l’ultima revisione di REvil andrebbe a cambiare la password utente per procedere al riavvio e alla consguente crittografia dei dati in totale autonomia. Affinando di fatto le sue metodiche d’azione dannose.
LEGGI ANCHE >>> Sapete quanti meteoriti precipitano ogni anno sulla Terra? A tonnellate…
L’inedito comportamento anomalo del ransomware era già stato individuato a fine marzo in un post su Twitter dall’esperto di cyber sicurezza R3MRUM che aveva notato come il virus informatico modificava la password dell’utente (in “DTrump4ever”); andando poi a variare alcuni valori di registro per accedere automaticamente in modalità provvisoria (safe mode) con i dati in precedenza modificati.
Secondo Bleeping Computer non è chiaro se possibili nuove revisioni di REvil continuino a far uso della password “DTrump4ever“.
POTREBBE INTERESSARTI >>> Ransomware, Acer nei guai: chiesti 50 milioni di dollari di riscatto
Da quel che riporta Bleeping Computer, il gruppo dietro REvil avrebbe aggiunto un’ulteriore minaccia alle vittime degli ultimi attacchi, praticando una sorta di doppia estorsione. Oltre alla perdita dei dati, in caso di mancato versamento del riscatto, i gruppi dietro agli attacchi di REvil avrebbero minacciato di usare attacchi DDos contro i partner delle vittime come metodo di pressione e accelerare le tempistiche di pagamento.
