Сайты Tor печально известной группы вымогателей REvil внезапно снова в сети после нескольких месяцев бездействия.
В то время как группа закрыла все свои веб-сайты и фактически прекратила свою деятельность в сентябре 2021 года, а затем была закрыта ФСБ России в начале этого года, ее сайты Tor теперь перенаправляются на новую операцию по вымогательству, которая не была запущена.
На данный момент до сих пор неясно, кто или какая группа стоит за этой новой операцией, но новый сайт утечки содержит длинный список бывших жертв REvil, а также двух новых.
По сообщению BleepingComputer, исследователи безопасности pancak3 и Soufiane Tahiri недавно заметили рекламу нового сайта утечки REvil на российском хакерском онлайн-форуме RuTOR. Несмотря на то, что новый сайт размещен на другом домене, он по-прежнему ведет к исходному сайту, который REvil использовал во времена своего расцвета.
Кто управляет новым сайтом утечки?
В то время как киберпреступники начали использовать модель Ransomware-as-a-Service (RaaS), новый сайт утечки объясняет, что аффилированные лица получают расширенную версию программы-вымогателя REvil вместе с разделением всех собранных платежей за выкуп в соотношении 80/20.
Что касается жертв, сайт предлагает список из 26 страниц, и хотя большинство из них относится к предыдущим атакам, последние две, похоже, связаны с этой новой операцией, и одна из них включает в себя Oil India.
В ноябре прошлого года, когда сайты платежей и утечки данных REvil все еще находились под контролем ФБР, на обоих сайтах отображалась страница под названием «REvil — это плохо» вместе с формой входа в систему. Хотя правоохранительные органы взяли на себя групповые сайты вымогателей, эти перенаправления предполагают, что кто-то еще имеет доступ к закрытым ключам Tor, которые позволили им вносить изменения в сайт группы .Onion.
Пользователи популярного русскоязычного хакерского форума начали спорить, является ли недавно просочившийся сайт мошенничеством, ловушкой, устроенной властями, или законным продолжением предыдущей деятельности REvil. Чтобы сделать ситуацию еще более запутанной, в настоящее время существует несколько операций программ-вымогателей, использующих шифрователи REvil или просто маскирующихся под исходную группу.
Как только исследователи безопасности более внимательно изучат новый сайт утечки, мы, возможно, наконец получим некоторые ответы на вопрос, действительно ли группа вымогателей REvil волшебным образом вернулась из мертвых.
Через BleepingComputer
