Darknet-webwerwe van die REvil-groep werk weer: het die Russe kubermisdadigers in die natuur vrygelaat?
Inligting sekuriteit spesialiste het opgemerk dat die darknet webwerwe van die REvil hack groep, wat vroeg ophou werk het 2022, is weer aktief. Die werwe herlei na 'n ander ransomware-veldtog, met die nuwe webwerf wat vorige slagoffers van die REvil-aanvalle sowel as nuwes bevat.
ERWEL bedrywighede in Januarie gestaak 2022 na die RFD het die arrestasie van aangekondig 14 mense geassosieer met die hackgroep. Op dieselfde tyd, daar is berig dat “die basis vir die soekaktiwiteite was die appèl van die bevoegde Amerikaanse owerhede.”
Toe het die Tverskoy-hof van Moskou agt vermeende lede van die hackgroep in hegtenis geneem. Almal van hulle is aangekla van die verkryging en berging van elektroniese fondse wat bedoel is vir die onwettige oordrag van fondse gemaak deur 'n georganiseerde groep (Afdeling 2 Paragraaf 187 van die Strafkode van die Russiese Federasie). Die straf ingevolge hierdie artikel is tot sewe jaar tronkstraf.
Terloops, daar is ook 'n stryd binne die hacker-gemeenskap: byvoorbeeld, ons het dit aangemeld LV malware gebruik binaries van hackgroep REvil sonder toestemming.
Bliepende rekenaar skryf dat die eerstes wat die aktiwiteit van die REvil-webwerwe opgemerk het, die inligtingsekuriteitspesialiste was pannekoek 3 en Soufiane Tahiri. Die feit is dat die nuwe “terrein vir lekkasies” REvil begin geadverteer word deur die Russiessprekende forummark Bokse (moet nie verwar word met die torrent-spoorsnyer met dieselfde naam nie).
Die webwerf verskaf gedetailleerde werksomstandighede vir "vennote" wat na bewering 'n verbeterde weergawe van die REvil-wanware ontvang en die losprys met die ontwikkelaars van die losprysware deel in 'n 80/20 verhouding.
Die 26 bladsye van die webwerf lys ook maatskappye wat gely het aan losprysware, waarvan die meeste ou slagoffers van REvil is. Slegs die laaste twee aanvalle hou verband met die nuwe veldtog, en een van die slagoffers is Olie Indië olie- en gasmaatskappy.
Joernaliste merk op dat terug in Januarie vanjaar, kort voor die beëindiging van REvil, die navorser MalwareHunterTeam geskryf het dit sedert middel Desember verlede jaar, hy het die aktiwiteit van 'n ander lospryswaregroep waargeneem, die Lospryskartel, wat blykbaar op een of ander manier met die REvil-ransomware verbind word.
Terloops, ons het opgemerk dat volgens Opgeneem Toekoms kenners, die skepper van ALPHV (Swart kat) was voorheen lid van die bekende kuberkrakergroep REvil.
Later, dieselfde MalwareHunterTeam-navorser opgemerk dat die “lekplek” REvil was vanaf April aktief 5 aan 10, maar het geen inhoud bevat nie. Dit het sowat 'n week later begin vol raak. Die MalwareHunterTeam het ook gevind dat die RSS-stroom 'n “Corp Lekke” string, wat vroeër deur die nou ontbinde gebruik is Nefilim hack groep.
Op dieselfde tyd, Bleeping Computer beweer dat die nuwe blog en betaalwebwerwe op verskillende bedieners loop, en die blog bevat 'n koekie met die naam DEADBEEF, wat voorheen deur 'n ander afpersgroep gebruik is – TeslaCrypt.
In wese, die werking van die nuwe herleidings beteken dat iemand anders as wetstoepassers toegang het tot Tor se private sleutels, wat hulle in staat stel om die nodige veranderinge aan te bring.
Volgens die publikasie, daar is reeds 'n aktiewe bespreking op Russiessprekende hackforums oor of die nuwe operasie 'n bedrogspul is, 'n lokmiddel van die owerhede, of is dit regtig 'n nuwe voorstel van sommige REvil-lede wat 'n beskadigde reputasie probeer regmaak.
