Sites da Darknet do grupo REvil estão funcionando novamente: os russos libertaram cibercriminosos na natureza?
Especialistas em segurança da informação notaram que os sites darknet do grupo de hackers REvil, que parou de funcionar no início 2022, estão ativos novamente. Os sites estão redirecionando para outra campanha de ransomware, com o novo site listando vítimas anteriores dos ataques REvil, bem como novas.
REvil encerrou suas atividades em janeiro 2022 depois de FSB anunciou a prisão de 14 pessoas associado ao grupo de hack. Ao mesmo tempo, foi relatado que “a base para as atividades de busca foi o apelo das autoridades competentes dos EUA.”
Então, o Tribunal Tverskoy de Moscou prendeu oito supostos membros do grupo de hackers. Todos eles foram acusados de aquisição e armazenamento de fundos eletrônicos destinados à transferência ilegal de fundos feita por um grupo organizado (Seção 2 Parágrafo 187 do Código Penal da Federação Russa). A pena prevista neste artigo é de até sete anos de prisão.
A propósito, há também uma luta dentro da comunidade hacker: por exemplo, nós informamos que Malware LV usa binários do grupo de hack REvil sem permissão.
Biping Computer escreve que os primeiros a notar a atividade dos sites REvil foram os especialistas em segurança da informação panqueca3 e Soufiane Tahiri. O fato é que o novo “local para vazamentos” REvil começou a ser anunciado através do fórum-mercado de língua russa Caixas (não deve ser confundido com o rastreador de torrent de mesmo nome).
O site fornece condições de trabalho detalhadas para “parceiros” que supostamente recebem uma versão aprimorada do malware REvil e compartilham o resgate com os desenvolvedores do ransomware em um 80/20 Razão.
o 26 páginas do site também listam empresas que sofreram com ransomware, a maioria dos quais são vítimas antigas do REvil. Apenas os dois últimos ataques parecem estar relacionados à nova campanha, e uma das vítimas é Petróleo da Índia empresa de petróleo e gás.
Jornalistas observam que em janeiro deste ano, pouco antes do término do REvil, o pesquisador MalwareHunterTeam escreveu que desde meados de dezembro do ano passado, ele tem observado a atividade de outro grupo de ransomware, a Cartel de resgate, que parece estar de alguma forma conectado com o ransomware REvil.
A propósito, notamos que de acordo com Futuro registrado experts, o criador do ALPHV (Gato preto) foi anteriormente um membro do conhecido grupo de hackers REvil.
Mais tarde, o mesmo pesquisador do MalwareHunterTeam notou que o “local do vazamento” REvil estava ativo desde abril 5 para 10, mas não continha conteúdo. Começou a encher cerca de uma semana depois. O MalwareHunterTeam também descobriu que o feed RSS tem um “Vazamentos Corporativos” fragmento, que costumava ser usado pelo agora extinto Nephilim hackear grupo.
Ao mesmo tempo, Bleeping Computer afirma que o novo blog e sites de pagamento estão sendo executados em servidores diferentes, e o blog contém um cookie chamado DEADBEEF, que foi usado anteriormente por outro grupo extorsionário – TeslaCrypt.
Em essência, a operação dos novos redirecionamentos significa que alguém além da aplicação da lei tem acesso às chaves privadas do Tor, que lhes permitem fazer as alterações necessárias.
De acordo com a publicação, já existe uma discussão ativa em fóruns de hackers de língua russa sobre se a nova operação é uma farsa, uma atração das autoridades, ou é realmente uma nova proposta de alguns membros do REvil que estão tentando consertar uma reputação danificada.