Les sites darknet du groupe REvil fonctionnent à nouveau: les Russes ont relâché des cybercriminels dans la nature?
Les spécialistes de la sécurité de l'information ont remarqué que les sites darknet du groupe de hack REvil, qui a arrêté de fonctionner tôt 2022, sont à nouveau actifs. Les sites redirigent vers une autre campagne de ransomware, avec le nouveau site répertoriant les anciennes victimes des attaques REvil ainsi que les nouvelles.
le mal a cessé ses activités en janvier 2022 après le FSB a annoncé l'arrestation de 14 personnes associé au groupe de hack. En même temps, il a été rapporté que “la base des activités de recherche était l'appel des autorités américaines compétentes.”
Ensuite, le tribunal Tverskoï de Moscou a arrêté huit membres présumés du groupe de piratage.. Tous ont été accusés d'acquisition et de stockage de fonds électroniques destinés au transfert illégal de fonds effectué par un groupe organisé. (Section 2 Paragraphe 187 du Code pénal de la Fédération de Russie). La peine prévue par cet article peut aller jusqu'à sept ans de prison..
Au fait, il y a aussi une lutte au sein de la communauté des hackers: par example, nous avons signalé que Malware LV utilise les binaires du groupe de hack REvil sans autorisation.
Ordinateur qui bipe écrit que les premiers à remarquer l'activité des sites REvil furent les spécialistes de la sécurité de l'information crêpe3 et Soufiane Tahiri. Le fait est que le nouveau “site pour les fuites” REvil a commencé à être annoncé sur le forum-marché russophone Des boites (à ne pas confondre avec le tracker torrent du même nom).
Le site fournit des conditions de travail détaillées pour les « partenaires » qui auraient reçu une version améliorée du malware REvil et partageraient la rançon avec les développeurs du ransomware de manière 80/20 rapport.
le 26 les pages du site répertorient également les entreprises qui ont souffert de ransomwares, dont la plupart sont d'anciennes victimes de REvil. Seules les deux dernières attaques semblent liées à la nouvelle campagne, et l'une des victimes est Pétrole Inde société pétrolière et gazière.
Les journalistes notent qu'en janvier de cette année, peu de temps avant la fin de REvil, le chercheur MalwareHunterTeam a écrit que depuis la mi-décembre de l'année dernière, il a observé l'activité d'un autre groupe de ransomwares, la Cartel des rançons, qui semble être en quelque sorte lié au ransomware REvil.
Au fait, nous avons noté que selon Avenir enregistré experts, le créateur de l'ALPHV (Chat noir) était auparavant membre du célèbre groupe de hackers REvil.
Plus tard, le même chercheur de MalwareHunterTeam a remarqué que le “site de fuite” REvil était actif à partir d'avril 5 à 10, mais ne contenait aucun contenu. Il a commencé à se remplir environ une semaine plus tard. La MalwareHunterTeam a également constaté que le flux RSS comporte un “Fuites d’entreprise” chaîne, qui était utilisé par le défunt Néphilim groupe de piratage.
En même temps, Bleeping Computer affirme que le nouveau blog et les sites de paiement fonctionnent sur des serveurs différents, et le blog contient un cookie nommé DEADBEEF, qui était auparavant utilisé par un autre groupe d'extorsion – TeslaCrypte.
Essentiellement, le fonctionnement des nouvelles redirections signifie que quelqu'un d'autre que les forces de l'ordre a accès aux clés privées de Tor, qui leur permettent d'apporter les changements nécessaires.
Selon la publication, il y a déjà une discussion active sur les forums de hack russophones pour savoir si la nouvelle opération est une arnaque, un leurre des autorités, ou est-ce vraiment une nouvelle proposition de certains membres de REvil qui tentent de réparer une réputation endommagée.
