Strony darknetowe grupy REvil znów działają: czy Rosjanie wypuścili cyberprzestępców na wolność??
Specjaliści ds. bezpieczeństwa informacji zauważyli, że darknetowe strony grupy hakerskiej REvil, który przestał działać na początku 2022, są ponownie aktywne. Strony przekierowują do innej kampanii ransomware, z nową stroną zawierającą listę przeszłych ofiar ataków REvil, a także nowych.
Zło zaprzestał działalności w styczniu 2022 po FSB ogłosił aresztowanie 14 ludzie powiązany z grupą hakerów. W tym samym czasie, poinformowano, że “podstawą działań poszukiwawczych była apelacja właściwych władz USA.”
Następnie Tverskoy Court w Moskwie aresztował ośmiu domniemanych członków grupy hakerskiej. Wszystkim z nich postawiono zarzuty pozyskiwania i przechowywania elektronicznych środków pieniężnych przeznaczonych do nielegalnego transferu środków dokonywanego przez zorganizowaną grupę (Sekcja 2 Ustęp 187 Kodeksu Karnego Federacji Rosyjskiej). Kara na podstawie tego artykułu to do siedmiu lat więzienia.
tak poza tym, w społeczności hakerów toczy się również walka: na przykład, zgłosiliśmy, że Malware LV używa binariów grupy hakerskiej REvil bez pozwolenia.
Syczący komputer pisze że pierwszymi, którzy zauważyli aktywność serwisów REvil, byli specjaliści ds. bezpieczeństwa informacji naleśnik3 i Soufiane Tahiri. Faktem jest, że nowy “miejsce przecieków” REvil zaczęto reklamować za pośrednictwem rosyjskojęzycznego forum-marketplace Pudła (nie mylić z trackerem torrentów o tej samej nazwie).
Witryna zawiera szczegółowe warunki pracy „partnerów”, którzy rzekomo otrzymują ulepszoną wersję złośliwego oprogramowania REvil i dzielą się okupem z twórcami oprogramowania ransomware w 80/20 stosunek.
ten 26 strony witryny zawierają również listę firm, które ucierpiały z powodu oprogramowania ransomware, większość z nich to stare ofiary REvil. Tylko dwa ostatnie ataki wydają się być związane z nową kampanią, i jedną z ofiar jest Olej Indie firma naftowo-gazowa.
Dziennikarze zauważają, że jeszcze w styczniu tego roku, na krótko przed zakończeniem REvil, badacz Zespół MalwareHunter że Cyclops Blink ma specjalny moduł przeznaczony dla kilku modeli że od połowy grudnia ubiegłego roku, obserwował aktywność innej grupy ransomware, ten Kartel z okupem, co wydaje się być w jakiś sposób związane z oprogramowaniem ransomware REvil.
tak poza tym, zauważyliśmy, że zgodnie z Nagrana przyszłość eksperci, twórca ALPHV (Czarny kot) był wcześniej członkiem znanej grupy hakerskiej REvil.
Później, to samo, co zauważył badacz MalwareHunterTeam że “miejsce wycieku” REvil był aktywny od kwietnia 5 do 10, ale nie zawierał treści. Zaczęło się zapełniać około tydzień później. Zespół MalwareHunter odkrył również, że kanał RSS ma “Wycieki Corp” strunowy, który był używany przez nieistniejącego już Nefilim grupa hakerów.
W tym samym czasie, Bleeping Computer twierdzi, że nowy blog i strony z płatnościami działają na różnych serwerach, a blog zawiera plik cookie o nazwie DEADBEEF, który był wcześniej używany przez inną grupę szantażystów – TeslaCrypt.
W istocie, działanie nowych przekierowań oznacza, że ktoś inny niż organy ścigania ma dostęp do kluczy prywatnych Tora, które pozwalają im dokonać niezbędnych zmian.
Według publikacji, na rosyjskojęzycznych forach hakerskich toczy się już aktywna dyskusja na temat tego, czy nowa operacja jest oszustwem, przynęta władz, czy to naprawdę nowa propozycja od niektórych członków REvil, którzy próbują naprawić nadszarpniętą reputację?.
