Los sitios de Darknet del grupo REvil están funcionando nuevamente: hacer que los rusos liberen a los ciberdelincuentes en la naturaleza?
Los especialistas en seguridad informática han notado que los sitios de la red oscura del grupo de hackers REvil, que dejó de funcionar temprano 2022, están activos de nuevo. Los sitios están redirigiendo a otra campaña de ransomware., con el nuevo sitio que enumera las víctimas anteriores de los ataques REvil, así como las nuevas.
Mal cesó sus operaciones en enero 2022 después de la FSB anunció la detención de 14 gente asociado con el grupo de pirateo. Al mismo tiempo, se informó que “la base de las actividades de búsqueda fue la apelación de las autoridades estadounidenses competentes.”
Luego, el Tribunal Tverskoy de Moscú detuvo a ocho presuntos miembros del grupo de hackers.. Todos ellos fueron acusados de adquisición y almacenamiento de fondos electrónicos destinados a la transferencia ilegal de fondos realizada por un grupo organizado. (Sección 2 Párrafo 187 del Código Penal de la Federación de Rusia). La pena prevista en este artículo es de hasta siete años de prisión..
Por cierto, También hay una lucha dentro de la comunidad hacker.: por ejemplo, informamos que Malware LV utiliza binarios del grupo de piratería REvil sin permiso.
Computadora que suena escribe que los primeros en notar la actividad de los sitios REvil fueron los especialistas en seguridad de la información pancak3 y Soufiane Tahiri. El hecho es que el nuevo “sitio para fugas” REvil comenzó a anunciarse a través del foro-mercado de habla rusa Cajas (no confundir con el rastreador de torrents del mismo nombre).
El sitio proporciona condiciones de trabajo detalladas para los "socios" que supuestamente reciben una versión mejorada del malware REvil y comparten el rescate con los desarrolladores del ransomware en un 80/20 relación.
los 26 Las páginas del sitio también enumeran empresas que han sufrido ransomware., la mayoría de los cuales son viejas víctimas de REvil. Sólo los dos últimos ataques parecen estar relacionados con la nueva campaña., y una de las víctimas es Petróleo India compañía de petróleo y gas.
Los periodistas señalan que en enero de este año., poco antes de la terminación de REvil, el investigador MalwareHunterEquipo escribió que desde mediados de diciembre del año pasado, ha estado observando la actividad de otro grupo de ransomware, la Cartel de rescate, que parece estar relacionado de alguna manera con el ransomware REvil.
Por cierto, observamos que según Futuro grabado expertos, el creador de ALPHV (Gato negro) Anteriormente fue miembro del conocido grupo de hackers REvil..
El FBI confirma oficialmente que el ransomware Diavol, el mismo investigador de MalwareHunterTeam notó El FBI confirma oficialmente que el ransomware Diavol “sitio de fuga” REvil estuvo activo desde abril 5 para 10, pero no contenía ningún contenido. Comenzó a llenarse aproximadamente una semana después.. MalwareHunterTeam también descubrió que la fuente RSS tiene un “Fugas corporativas” cadena, que solía ser utilizado por el ahora desaparecido Nefilim hackear grupo.
Al mismo tiempo, Bleeping Computer afirma que el nuevo blog y los sitios de pago se ejecutan en servidores diferentes, y el blog contiene una cookie llamada DEADBEEF, que anteriormente fue utilizado por otro grupo extorsionador – TeslaCrypt.
En esencia, El funcionamiento de las nuevas redirecciones significa que alguien que no sea la policía tiene acceso a las claves privadas de Tor., que les permitan realizar los cambios necesarios.
Según la publicación, Ya existe una discusión activa en los foros de hackers de habla rusa sobre si la nueva operación es una estafa., un señuelo de las autoridades, ¿O es realmente una nueva propuesta de algunos miembros de REvil que están tratando de arreglar una reputación dañada?.
