Серверы вымогателя REvil загадочным образом возвращаются в сеть

37
Cox Media Group подтвердила атаку программы-вымогателя, которая прервала трансляции

Последнее обновление 02.01.2023 — QGames

Темные веб-серверы для работы вымогателя REvil внезапно снова включились после почти двухмесячного отсутствия. Неясно, означает ли это возвращение их банды вымогателей или серверы включаются правоохранительными органами.

2 июля банда вымогателей REvil, также известная как Sodinokibi, использовала уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA для шифрования примерно 60 поставщиков управляемых услуг (MSP) и более 1500 своих бизнес-клиентов.

Затем REvil потребовал от поставщиков услуг 5 миллионов долларов за дешифратор или 44 999 долларов за каждое зашифрованное расширение в отдельных компаниях.

Банда также потребовала 70 миллионов долларов за главный ключ дешифрования для расшифровки всех жертв Касеи, но вскоре снизила цену до 50 миллионов долларов.

После атаки банда вымогателей столкнулась с растущим давлением со стороны правоохранительных органов и Белого дома, которые предупредили, что США сами примут меры, если Россия не примет меры против субъектов угрозы на их границах.

Вскоре после этого банда вымогателей REvil исчезла , а все их серверы и инфраструктура Tor были отключены.

По теме:  VoLTE против VoIP: в чем разница?

По сей день неясно, что произошло, но жертвы вымогателей, которые хотели вести переговоры, не могли этого сделать и не могли восстанавливать файлы.

Загадочным образом Касея позже получила главный ключ дешифрования для жертв атаки и заявила, что он был от доверенной третьей стороны. Считается, что российская разведка получила ключ дешифрования от злоумышленников и передала его ФБР в качестве жеста доброй воли.

Инфраструктура REvil внезапно включается

Сегодня и сайт оплаты / переговоров Tor, и сайт утечки данных Tor ‘Happy Blog’ от REvil внезапно возобновили работу.

Самая последняя жертва на сайте утечки данных REvil была добавлена ​​8 июля 2021 года, всего за пять дней до загадочного исчезновения REvil.

В отличие от сайта утечки данных, который функционирует, сайт переговоров Tor, похоже, еще не полностью функционирует. Хотя он показывает экран входа в систему, как показано ниже, он не позволяет жертвам входить на сайт.

Http://decoder.re/ банды в настоящее время все еще не в сети.

В настоящее время неясно, снова ли работает банда вымогателей, серверы были снова включены по ошибке, или это связано с действиями правоохранительных органов.