אתרי Darknet של קבוצת REvil שוב עובדים: שהרוסים שחררו פושעי סייבר לטבע?
מומחי אבטחת מידע שמו לב שאתרי ה- Darknet של קבוצת הפריצה REvil, שהפסיק לעבוד מוקדם 2022, פעילים שוב. האתרים מפנים למסע פרסום אחר של תוכנת כופר, עם האתר החדש המפרט קורבנות קודמים של התקפות REvil כמו גם קורבנות חדשים.
REvil הפסיק את פעילותו בינואר 2022 לאחר FSB הודיע על מעצרו של 14 אֲנָשִׁים הקשורים לקבוצת הפריצה. באותו הזמן, דווח כי “הבסיס לפעולות החיפוש היה פנייתם של הרשויות המוסמכות בארה"ב.”
אז בית המשפט בטברסקוי במוסקבה לקח למעצר שמונה חברים לכאורה בקבוצת הפריצה. כולם הואשמו ברכישה ואחסון של כספים אלקטרוניים המיועדים להעברה בלתי חוקית של כספים שנעשתה על ידי קבוצה מאורגנת (סָעִיף 2 פסקה 187 של הקוד הפלילי של הפדרציה הרוסית). העונש לפי מאמר זה הוא עד שבע שנות מאסר.
דרך אגב, יש גם מאבק בתוך קהילת ההאקרים: לדוגמה, דיווחנו על כך תוכנות זדוניות LV משתמש בקבצים בינאריים של קבוצת הפריצה REvil ללא רשות.
מחשב מצמרר כותב שהראשונים שהבחינו בפעילות אתרי REvil היו מומחי אבטחת המידע פנקייק3 ו סופיאן טהירי. העובדה היא שהחדש “אתר לדליפות” REvil החל להתפרסם דרך הפורום-marketplace דובר הרוסית קופסאות (לא להתבלבל עם גשש הטורנטים באותו שם).
האתר מספק תנאי עבודה מפורטים עבור "שותפים" שמקבלים לכאורה גרסה משופרת של תוכנת הכופר של REvil וחולקים את הכופר עם מפתחי תוכנת הכופר 80/20 יַחַס.
ה 26 בדפי האתר מופיעות גם חברות שסבלו מתוכנות כופר, רובם קורבנות ותיקים של REvil. נראה שרק שתי ההתקפות האחרונות קשורות לקמפיין החדש, ו אחד הקורבנות הוא שמן הודו חברת נפט וגז.
עיתונאים מציינים כי עוד בינואר השנה, זמן קצר לפני סיום REvil, החוקר MalwareHunterTeam כי ל-Cyclops Blink יש מודול מיוחד המיועד למספר דגמים של כי מאז אמצע דצמבר אשתקד, הוא צפה בפעילות של קבוצת תוכנות כופר אחרת, ה קרטל כופר, שנראה כאילו קשור איכשהו לתוכנת הכופר של REvil.
דרך אגב, ציינו שלפי עתיד מוקלט מומחים, היוצר של ALPHV (חתול שחור) היה בעבר חבר בקבוצת ההאקרים הידועה REvil.
יותר מאוחר, אותו חוקר MalwareHunterTeam שם לב ש “אתר הדליפה” REvil היה פעיל מאפריל 5 ל 10, אך לא הכיל תוכן. זה התחיל להתמלא כשבוע לאחר מכן. ה-MalwareHunterTeam מצא גם שלפיד ה-RSS יש א “קורפ הדלפות” חוּט, שבעבר שימש את בני הזוג שנפטרו כעת נפילים קבוצת פריצה.
באותו הזמן, Bleeping Computer טוענת שהבלוג ואתרי התשלומים החדשים פועלים על שרתים שונים, והבלוג מכיל קובץ Cookie בשם DEADBEEF, ששימש בעבר קבוצת סחטנים אחרת – TeslaCrypt.
בעצם, פעולת ההפניות החדשות פירושה שלמישהו אחר מלבד אכיפת החוק יש גישה למפתחות הפרטיים של Tor, המאפשרים להם לבצע את השינויים הנדרשים.
לפי הפרסום, יש כבר דיון פעיל בפורומי פריצה דוברי רוסית בשאלה האם הפעולה החדשה היא הונאה, פיתוי של הרשויות, או שזו באמת הצעה חדשה של כמה חברי REvil שמנסים לתקן מוניטין פגום.