Darknet-sidene til REvil-gruppen fungerer igjen: har russerne sluppet cyberkriminelle ut i naturen?
Informasjonssikkerhetsspesialister har lagt merke til at darknet-sidene til REvil-hackgruppen, som sluttet å virke tidlig 2022, er aktive igjen. Nettstedene omdirigerer til en annen ransomware-kampanje, med det nye nettstedet som viser tidligere ofre for REvil-angrepene så vel som nye.
REvil avsluttet driften i januar 2022 etter FSB kunngjorde pågripelsen av 14 mennesker knyttet til hackergruppen. Samtidig, det ble rapportert at “grunnlaget for leteaktivitetene var appellen fra kompetente amerikanske myndigheter.”
Deretter tok Tverskoy-domstolen i Moskva i varetekt åtte påståtte medlemmer av hackergruppen. Alle ble siktet for anskaffelse og lagring av elektroniske midler beregnet på ulovlig overføring av midler gjort av en organisert gruppe (Seksjon 2 Avsnitt 187 av den russiske føderasjonens straffelov). Straffen etter denne artikkelen er inntil syv års fengsel.
Forresten, Det er også en kamp innenfor hackermiljøet: for eksempel, vi rapporterte det LV malware bruker binærfiler fra hackgruppen REvil uten tillatelse.
Blødende datamaskin skriver at de første som la merke til aktiviteten til REvil-sidene var spesialistene på informasjonssikkerhet pannekake 3 og Soufiane Tahiri. Faktum er at det nye “stedet for lekkasjer” REvil begynte å bli annonsert gjennom den russisktalende forum-markedsplassen Esker (ikke å forveksle med torrent-trackeren med samme navn).
Nettstedet gir detaljerte arbeidsforhold for "partnere" som angivelig mottar en forbedret versjon av REvil malware og deler løsepengene med utviklerne av løsepengevaren i en 80/20 forhold.
De 26 sidene på nettstedet viser også selskaper som har lidd av løsepengevare, de fleste er gamle ofre for REvil. Bare de to siste angrepene ser ut til å være relatert til den nye kampanjen, og et av ofrene er Olje India olje- og gasselskap.
Journalister bemerker det tilbake i januar i år, kort tid før oppsigelsen av REvil, forskeren MalwareHunterTeam at Cyclops Blink har en spesialmodul designet for flere modeller av det siden midten av desember i fjor, han har observert aktiviteten til en annen løsepengevaregruppe, de Løsepengekartell, som på en eller annen måte ser ut til å være forbundet med REvil løsepengevare.
Forresten, vi bemerket at iht Innspilt fremtid eksperter, skaperen av ALPHV (Svart katt) var tidligere medlem av den kjente hackergruppen REvil.
Seinere, den samme MalwareHunterTeam-forskeren la merke til at “lekkasjested” REvil var aktiv fra april 5 til 10, men inneholdt ikke noe innhold. Den begynte å fylles opp omtrent en uke senere. MalwareHunterTeam fant også at RSS-feeden har en “Corp Leaks” streng, som pleide å bli brukt av den nå nedlagte Nephilim hack gruppe.
Samtidig, Bleeping Computer hevder at den nye bloggen og betalingssidene kjører på forskjellige servere, og bloggen inneholder en informasjonskapsel som heter DEADBEEF, som tidligere ble brukt av en annen utpressergruppe – TeslaCrypt.
I hovedsak, driften av de nye omdirigeringene betyr at noen andre enn rettshåndhevelse har tilgang til Tors private nøkler, som lar dem gjøre de nødvendige endringene.
I følge publikasjonen, Det er allerede en aktiv diskusjon på russisktalende hack-fora om hvorvidt den nye operasjonen er en svindel, et lokkemiddel fra myndighetene, eller er det virkelig et nytt forslag fra noen REvil-medlemmer som prøver å fikse et skadet rykte.
