Οι dark web servers για τη λειτουργία του ransomware REvil ενεργοποιήθηκαν ξαφνικά μετά από σχεδόν δύο μήνες απουσίας. Δεν είναι σαφές εάν αυτό σηματοδοτεί την επιστροφή της συμμορίας ransomware ή αν οι servers ενεργοποιούνται από τις αρχές επιβολής του νόμου.
Στις 2 Ιουλίου, η συμμορία ransomware REvil, γνωστή και ως Sodinokibi, χρησιμοποίησε μια ευπάθεια zero-day στο λογισμικό απομακρυσμένης διαχείρισης Kaseya VSA για να κρυπτογραφήσει περίπου 60 διαχειριζόμενους παρόχους υπηρεσιών (MSP) και πάνω από 1.500 επιχειρηματικούς πελάτες τους.
Δείτε επίσης: Συμμορία ransomware: Θα διαρρεύσουμε τα data σας αν επικοινωνήσετε με το FBI
Στη συνέχεια, η επιχείρηση REvil ζήτησε 5 εκατομμύρια δολάρια από MSP για αποκρυπτογράφηση ή 44,999 δολάρια για κάθε κρυπτογραφημένη επέκταση στις μεμονωμένες επιχειρήσεις.
Η συμμορία ζήτησε επίσης 70 εκατομμύρια δολάρια για ένα βασικό κλειδί αποκρυπτογράφησης για την αποκρυπτογράφηση όλων των θυμάτων της Kaseya, αλλά σύντομα έριξε την τιμή στα 50 εκατομμύρια δολάρια.
Μετά την επίθεση, η συμμορία ransomware αντιμετώπισε αυξανόμενη πίεση από την επιβολή του νόμου και τον Λευκό Οίκο, οι οποίοι προειδοποίησαν ότι οι ΗΠΑ θα αναλάβουν δράση οι ίδιοι εάν η Ρωσία δεν ενεργήσει εναντίον των απειλητικών παραγόντων που βρίσκονται εντός της χώρας τους.
Δείτε επίσης: Συμμορίες ransomware: Με ποια κριτήρια διαλέγουν εταιρείες – στόχους;
Λίγο αργότερα, η συμμορία ransomware REvil εξαφανίστηκε και όλοι οι servers Tor και η υποδομή τους έκλεισαν.
Μέχρι σήμερα, δεν είναι σαφές τι συνέβη, αλλά άφησε θύματα ransomware που ήθελαν να διαπραγματευτούν αδύνατο να το κάνουν και χωρίς τη δυνατότητα να επαναφέρουν αρχεία.
Μυστηριωδώς, η Kaseya έλαβε αργότερα το κύριο κλειδί αποκρυπτογράφησης για τα θύματα της επίθεσης και δήλωσε ότι ήταν από αξιόπιστο τρίτο μέρος. Πιστεύεται ότι οι ρωσικές μυστικές υπηρεσίες έλαβαν το κλειδί αποκρυπτογράφησης από τους απειλητικούς φορείς και το παρέδωσαν στο FBI ως ένδειξη καλής θέλησης.
Η υποδομή του REvil ενεργοποιείται ξαφνικά
Σήμερα, τόσο ο ιστότοπος πληρωμής/διαπραγμάτευσης Tor όσο και ο ιστότοπος διαρροής δεδομένων του REvil ξαναεμφανίστηκαν στο διαδίκτυο.
Το πιο πρόσφατο θύμα στον ιστότοπο διαρροής δεδομένων REvil προστέθηκε στις 8 Ιουλίου 2021, μόλις πέντε ημέρες πριν από τη μυστηριώδη εξαφάνιση του REvil.
Δείτε επίσης: Ransomware επιθέσεις: Αύξηση 288% κατά το πρώτο εξάμηνο του 2021
Σε αντίθεση με τον ιστότοπο διαρροής δεδομένων, ο οποίος είναι λειτουργικός, ο ιστότοπος διαπραγμάτευσης Tor δεν φαίνεται να είναι ακόμη πλήρως λειτουργικός. Ενώ εμφανίζει την οθόνη σύνδεσης, όπως φαίνεται παρακάτω, δεν επιτρέπει στα θύματα να συνδεθούν στον ιστότοπο.
Το http://decoder.re/ της συμμορίας εξακολουθεί να είναι εκτός σύνδεσης αυτήν τη στιγμή.
Δεν είναι προς το παρόν σαφές εάν η συμμορία ransomware είναι ξανά σε λειτουργία, εάν οι servers έχουν ξαναενεργοποιηθεί κατά λάθος ή οφείλεται στις ενέργειες της επιβολής του νόμου.
Πηγή πληροφοριών: bleepingcomputer.com
