Social media
Gang REvil Ransomware schodzi do podziemia po zhakowaniu stron Tora
REvil, znany gang zajmujący się oprogramowaniem ransomware odpowiedzialny za serię cyberataków w ostatnich latach, po raz kolejny zniknął z radaru, nieco ponad miesiąc po tym, jak grupa cyberprzestępcza niespodziewanie powróciła po dwumiesięcznej przerwie.
Zmiana w kodzie, po raz pierwszy zauważona przez Dmitrija Smilyanetsa z Recorded Future, nastąpiła po tym, jak członek związany z operacją REvil opublikował na forum hakerskim XSS, że niezidentyfikowane osoby przejęły kontrolę nad portalem płatniczym Tor i stroną internetową z wyciekiem danych.
„Bezpieczeństwo serwera zostało naruszone i szukali mnie. Aby być precyzyjnym, usunęli ścieżkę do mojej ukrytej usługi w pliku torrc i stworzyli własną, abym tam poszedł. Sprawdziłem na innych - nie było. Powodzenia wszystkim, odchodzę” – powiedział we wpisie użytkownik 0_neday.
W chwili pisania tego tekstu nie jest jasne, kto stał za naruszeniem serwerów REvil, chociaż nie byłoby całkowicie zaskakujące, gdyby organy ścigania odegrały rolę w uszkodzeniu tych domen - czytamy na łamach portalu TheHackersNews.
Śledztwo ważniejsze od udzielenia pomocy?
W zeszłym miesiącu Washington Post poinformował, że amerykańskie Federalne Biuro Śledcze (FBI) przez prawie trzy tygodnie powstrzymywało się od udostępniania deszyfratora ofiarom ataku ransomware Kaseya, które uzyskało dzięki dostępowi do serwerów grupy, w ramach planu zakłócania złośliwego działania gangu.
„Planowane usunięcie nigdy nie nastąpiło, ponieważ w połowie lipca platforma REvil przeszła w tryb offline – bez interwencji rządu USA – a hakerzy zniknęli, zanim FBI zdążyło zrealizować swój plan” – dodano w raporcie.
Uniwersalny dekrypter został ostatecznie udostępniony przez rumuńską firmę zajmującą się cyberbezpieczeństwem Bitdefender pod koniec lipca po uzyskaniu klucza cyfrowego od „partnera organów ścigania”.
Udział Rosji?
Powiązana z Rosją grupa oprogramowania ransomware przyciągnęła dużą uwagę po atakach na JBS i Kaseya na początku tego roku, co skłoniło ją do wyłączenia swoich darknetowych stron w lipcu 2021 roku. Jednak już 9 września 2021 roku REvil dokonał nieoczekiwanego powrotu, ujawniając zarówno wyciek danych stron internetowych, płatności oraz warunków negocjacyjnych, związanych z powrotem witryn do trybu online.
Chociaż nierzadko zdarza się, że grupy oprogramowania ransomware ewoluują, dzielą się lub reorganizują pod nowymi nazwami, dziedzina przestępczości coraz częściej znajduje się pod soczewką uderzającej w infrastrukturę krytyczną. Aktualnie coraz więcej cyberprzestępców dostrzega opłacalność oprogramowania ransomware, częściowo wspieranego przez nieuregulowany status prawny kryptowalut, umożliwiając tym samym cyberprzestępcom bezkarne wyłudzanie od ofiar płatności cyfrowych.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
