Последнее обновление 02.01.2023 — QGames
Темные веб-серверы для работы вымогателя REvil внезапно снова включились после почти двухмесячного отсутствия. Неясно, означает ли это возвращение их банды вымогателей или серверы включаются правоохранительными органами.
2 июля банда вымогателей REvil, также известная как Sodinokibi, использовала уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA для шифрования примерно 60 поставщиков управляемых услуг (MSP) и более 1500 своих бизнес-клиентов.
Затем REvil потребовал от поставщиков услуг 5 миллионов долларов за дешифратор или 44 999 долларов за каждое зашифрованное расширение в отдельных компаниях.
Банда также потребовала 70 миллионов долларов за главный ключ дешифрования для расшифровки всех жертв Касеи, но вскоре снизила цену до 50 миллионов долларов.
После атаки банда вымогателей столкнулась с растущим давлением со стороны правоохранительных органов и Белого дома, которые предупредили, что США сами примут меры, если Россия не примет меры против субъектов угрозы на их границах.
Вскоре после этого банда вымогателей REvil исчезла , а все их серверы и инфраструктура Tor были отключены.
По сей день неясно, что произошло, но жертвы вымогателей, которые хотели вести переговоры, не могли этого сделать и не могли восстанавливать файлы.
Загадочным образом Касея позже получила главный ключ дешифрования для жертв атаки и заявила, что он был от доверенной третьей стороны. Считается, что российская разведка получила ключ дешифрования от злоумышленников и передала его ФБР в качестве жеста доброй воли.
Инфраструктура REvil внезапно включается
Сегодня и сайт оплаты / переговоров Tor, и сайт утечки данных Tor ‘Happy Blog’ от REvil внезапно возобновили работу.
Самая последняя жертва на сайте утечки данных REvil была добавлена 8 июля 2021 года, всего за пять дней до загадочного исчезновения REvil.
В отличие от сайта утечки данных, который функционирует, сайт переговоров Tor, похоже, еще не полностью функционирует. Хотя он показывает экран входа в систему, как показано ниже, он не позволяет жертвам входить на сайт.
Http://decoder.re/ банды в настоящее время все еще не в сети.
В настоящее время неясно, снова ли работает банда вымогателей, серверы были снова включены по ошибке, или это связано с действиями правоохранительных органов.