Los sitios de REvil Tor han vuelto a la vida

Los sitios de REvil Tor han vuelto a la vida

Los sitios Tor del infame grupo de ransomware REvil volvieron a estar en línea repentinamente después de meses de inactividad.

Si bien el grupo eliminó todos sus sitios web y esencialmente cerró sus operaciones en septiembre de 2021 antes de ser eliminado por el FSB ruso a principios de este año, sus sitios en Tor ahora se están redirigiendo a una nueva operación de ransomware que no se lanzó recientemente.

A partir de ahora, aún no está claro quién o qué grupo está detrás de esta nueva operación, pero el nuevo sitio de filtración contiene una larga lista de antiguas víctimas de REvil, así como dos nuevas.

Según BleepingComputer, los investigadores de seguridad pancak3 y Soufiane Tahiri detectaron recientemente anuncios que promocionaban el nuevo sitio de filtraciones REvil en el foro ruso de piratería en línea RuTOR. A pesar de que el nuevo sitio está alojado en un dominio diferente, aún conduce al original que REvil usó en su apogeo.

¿Quién dirige el nuevo sitio de fugas?

Si bien los ciberdelincuentes comenzaron a usar un modelo de Ransomware-as-a-Service (RaaS), el nuevo sitio de filtración explica que los afiliados obtienen una versión mejorada del ransomware REvil junto con una división 80/20 de todos los pagos del rescate recolectado.

En cuanto a las víctimas, el sitio ofrece una lista de 26 páginas y aunque la mayoría son de ataques anteriores, las dos últimas parecen estar relacionadas con esta nueva operación y una de ellas incluye a Oil India.

En noviembre del año pasado, mientras los sitios de pago y fuga de datos de REvil aún estaban bajo el control del FBI, ambos sitios mostraban una página titulada "REvil is bad" junto con un formulario de inicio de sesión. Aunque las fuerzas del orden se han apoderado de los sitios del grupo de ransomware, estos redireccionamientos sugieren que otra persona tiene acceso a las claves privadas de Tor que les permitieron realizar cambios en el sitio .Onion del grupo.

Los usuarios de un popular foro de piratería de habla rusa han comenzado a discutir si el nuevo sitio filtrado es una estafa, un trampa creada por las autoridades o una continuación legítima de las actividades anteriores de REvil. Para hacer las cosas más confusas, actualmente hay varias operaciones de ransomware que usan los encriptadores de REvil o simplemente se hacen pasar por el grupo original.

Una vez que los investigadores de seguridad observen más de cerca el nuevo sitio de fuga, es posible que finalmente tengamos algunas respuestas sobre si el grupo de ransomware REvil ha regresado mágicamente de entre los muertos.

Через BleepingComputer