Μετά από αρκετούς μήνες αδράνειας, οι διακομιστές του REvil ransomware στο δίκτυο TOR έχουν αρχίσει να δημιουργούν αντίγραφα ασφαλείας για μια νέα κακόβουλη επιχείρηση που φαίνεται να έχει ξεκινήσει τουλάχιστον από τα μέσα Δεκεμβρίου του περασμένου έτους.
Δείτε επίσης: Ransomware: Η ομάδα FIN12 γίνεται πολύ πιο γρήγορη στην κρυπτογράφηση δικτύων
Δεν είναι σαφές ποιος βρίσκεται πίσω από τη νέα επιχείρηση που συνδέεται με το REvil, αλλά ο νέος ιστότοπος διαρροής απαριθμεί έναν μεγάλο κατάλογο θυμάτων από προηγούμενες επιθέσεις REvil.
Όπως ανακάλυψαν οι ερευνητές ασφαλείας pancak3 και Soufiane Tahiri, η νέα τοποθεσία διαρροής REvil προωθείται στο RuTOR, μια αγορά φόρουμ που εστιάζει σε ρωσόφωνες περιοχές.
Ο νέος ιστότοπος φιλοξενείται σε διαφορετικό τομέα, αλλά οδηγεί στον αρχικό τομέα του REvil που χρησιμοποιήθηκε όταν ήταν ενεργός.
Ο ιστότοπος διαρροής παρέχει λεπτομέρειες σχετικά με τους όρους για τους συνεργάτες, οι οποίοι φέρεται να λαμβάνουν μια βελτιωμένη έκδοση του ransomware REvil. Απαριθμεί 26 σελίδες θυμάτων, τα περισσότερα εκ τω οποίων είναι από παλιές επιθέσεις REvil.
Ο ερευνητής ασφαλείας MalwareHunterTeam είχε ανακαλύψει τον Ιανουάριο, λίγο μετά τη σύλληψη ορισμένων φερόμενων μελών του REvil, μία άλλη ομάδα που πιθανώς χρησιμοποιούσε το REvil.
Ενώ ήταν υπό τον έλεγχο του FBI τον Νοέμβριο του 2021, οι ιστότοποι διαρροής δεδομένων και πληρωμών της ομάδας REvil έδειχναν μια σελίδα με τίτλο “Το REvil είναι κακό” και μια φόρμα σύνδεσης, αρχικά μέσω των πυλών TOR και στην τοποθεσία .Onion.
Δείτε ακόμα: Κυκλοφόρησε δωρεάν decryptor για θύματα του ransomware Yanluowang
Το μυστήριο των ανακατευθύνσεων βαθαίνει, καθώς υποδηλώνει ότι κάποιος άλλος εκτός από την επιβολή του νόμου, έχει πρόσβαση στα ιδιωτικά κλειδιά TOR που του επιτρέπει να κάνει αλλαγές στον ιστότοπο .Onion.
Το REvil ransomware ξεκίνησε τις επιχειρήσεις του τον Απρίλιο του 2019, ως συνέχεια της επιχείρησης GandCrab, της πρώτης που καθιέρωσε το μοντέλο ransomware-as-a-service (RaaS). Τον Αύγουστο του ίδιου έτους, η συμμορία χτύπησε πολλές τοπικές διοικήσεις στο Τέξας και ζήτησε συλλογικά λύτρα 2,5 εκατομμυρίων δολαρίων, το υψηλότερο ποσό που είχε ζητηθεί εκείνη την εποχή.
Η ομάδα είναι υπεύθυνη για την επίθεση στην αλυσίδα εφοδιασμού Kaseya που επηρέασε περίπου 1.500 επιχειρήσεις και οδήγησε επίσης στον τερματισμό των επιχειρήσεών της πέρυσι, καθώς οι αρχές επιβολής του νόμου σε όλο τον κόσμο ενίσχυσαν τη συνεργασία τους για να ρίξουν τη συμμορία.
Αμέσως μετά το χτύπημα στην Kaseya, η συμμορία έκανε ένα διάλειμμα δύο μηνών χωρίς να γνωρίζει ότι οι υπηρεσίες επιβολής του νόμου είχαν παραβιάσει τους διακομιστές της. Όταν η REvil επανεκκίνησε τη λειτουργία, επανέφερε τα συστήματα από αντίγραφα ασφαλείας, αγνοώντας την παραβίαση.
Δείτε επίσης: Βρέθηκε σύνδεση μεταξύ της ομάδας Karakurt και του Conti ransomware
Στα μέσα Ιανουαρίου, η Ρωσία ανακοίνωσε ότι έκλεισε το REvil αφού ταυτοποίησε όλα τα μέλη της συμμορίας και συνέλαβε 14 άτομα. Σε μια συνέντευξη στη Rossiyskaya Gazeta, ο αναπληρωτής γραμματέας του Συμβουλίου Ασφαλείας της Ρωσικής Ομοσπονδίας, Oleg Khramov, είπε ότι η ρωσική υπηρεσία επιβολής του νόμου ξεκίνησε την έρευνά της για το REvil από το όνομα Puzyrevsky και μια διεύθυνση IP που μεταδόθηκε από τις Ηνωμένες Πολιτείες ως ο κύριος χάκερ της ομάδας.
