אתרי Darknet של קבוצת REvil שוב עובדים: שהרוסים שחררו פושעי סייבר לטבע?

מומחי אבטחת מידע שמו לב שאתרי ה- Darknet של קבוצת הפריצה REvil, שהפסיק לעבוד מוקדם 2022, פעילים שוב. האתרים מפנים למסע פרסום אחר של תוכנת כופר, עם האתר החדש המפרט קורבנות קודמים של התקפות REvil כמו גם קורבנות חדשים.

REvil הפסיק את פעילותו בינואר 2022 לאחר FSB הודיע ​​על מעצרו של 14 אֲנָשִׁים הקשורים לקבוצת הפריצה. באותו הזמן, דווח כי “הבסיס לפעולות החיפוש היה פנייתם ​​של הרשויות המוסמכות בארה"ב.”

אז בית המשפט בטברסקוי במוסקבה לקח למעצר שמונה חברים לכאורה בקבוצת הפריצה. כולם הואשמו ברכישה ואחסון של כספים אלקטרוניים המיועדים להעברה בלתי חוקית של כספים שנעשתה על ידי קבוצה מאורגנת (סָעִיף 2 פסקה 187 של הקוד הפלילי של הפדרציה הרוסית). העונש לפי מאמר זה הוא עד שבע שנות מאסר.

דרך אגב, יש גם מאבק בתוך קהילת ההאקרים: לדוגמה, דיווחנו על כך תוכנות זדוניות LV משתמש בקבצים בינאריים של קבוצת הפריצה REvil ללא רשות.

מחשב מצמרר כותב שהראשונים שהבחינו בפעילות אתרי REvil היו מומחי אבטחת המידע פנקייק3 ו סופיאן טהירי. העובדה היא שהחדש “אתר לדליפות” REvil החל להתפרסם דרך הפורום-marketplace דובר הרוסית קופסאות (לא להתבלבל עם גשש הטורנטים באותו שם).

האתר החדש מתארח בדומיין אחר אך מקושר לאתר REvil המקורי שהיה בשימוש כשהקבוצה עדיין הייתה פעילה.סיפרו עיתונאים של Bleeping Computer.

האתר מספק תנאי עבודה מפורטים עבור "שותפים" שמקבלים לכאורה גרסה משופרת של תוכנת הכופר של REvil וחולקים את הכופר עם מפתחי תוכנת הכופר 80/20 יַחַס.

ה 26 בדפי האתר מופיעות גם חברות שסבלו מתוכנות כופר, רובם קורבנות ותיקים של REvil. נראה שרק שתי ההתקפות האחרונות קשורות לקמפיין החדש, ו אחד הקורבנות הוא שמן הודו חברת נפט וגז.

עיתונאים מציינים כי עוד בינואר השנה, זמן קצר לפני סיום REvil, החוקר MalwareHunterTeam כי ל-Cyclops Blink יש מודול מיוחד המיועד למספר דגמים של כי מאז אמצע דצמבר אשתקד, הוא צפה בפעילות של קבוצת תוכנות כופר אחרת, ה קרטל כופר, שנראה כאילו קשור איכשהו לתוכנת הכופר של REvil.

דרך אגב, ציינו שלפי עתיד מוקלט מומחים, היוצר של ALPHV (חתול שחור) היה בעבר חבר בקבוצת ההאקרים הידועה REvil.

יותר מאוחר, אותו חוקר MalwareHunterTeam שם לב ש “אתר הדליפה” REvil היה פעיל מאפריל 5 ל 10, אך לא הכיל תוכן. זה התחיל להתמלא כשבוע לאחר מכן. ה-MalwareHunterTeam מצא גם שלפיד ה-RSS יש א “קורפ הדלפות” חוּט, שבעבר שימש את בני הזוג שנפטרו כעת נפילים קבוצת פריצה.

אתרי Darknet של REvil

באותו הזמן, Bleeping Computer טוענת שהבלוג ואתרי התשלומים החדשים פועלים על שרתים שונים, והבלוג מכיל קובץ Cookie בשם DEADBEEF, ששימש בעבר קבוצת סחטנים אחרת – TeslaCrypt.

אתרי Darknet של REvil

בעצם, פעולת ההפניות החדשות פירושה שלמישהו אחר מלבד אכיפת החוק יש גישה למפתחות הפרטיים של Tor, המאפשרים להם לבצע את השינויים הנדרשים.

לפי הפרסום, יש כבר דיון פעיל בפורומי פריצה דוברי רוסית בשאלה האם הפעולה החדשה היא הונאה, פיתוי של הרשויות, או שזו באמת הצעה חדשה של כמה חברי REvil שמנסים לתקן מוניטין פגום.

כַּיוֹם, ישנן מספר תוכנות כופר המשתמשות בתוכנה זדונית של REvil שונה, וחלקם אפילו מתחזים לקבוצת הפריצה המקורית. אלה כוללים את LV, שהשתמש בתוכנת הכופר של REvil עוד לפני שרשויות אכיפת החוק התעניינו בקבוצת הפריצה, וקרטל הכופר, שקשור איכשהו ל-REvil, אבל איך בדיוק לא ברור עדיין.

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה