Серверы REvil ransomware снова заработали в сети TOR после нескольких месяцев бездействия и перенаправляют на новую "операцию", которая, похоже, началась по крайней мере с середины декабря прошлого года.
Пока неясно, кто стоит за новой операцией, связанной с REvil, но на новом сайте указан большой каталог жертв прошлых атак REvil плюс две новые.
Новый RaaS в процессе разработки
Несколько дней назад исследователи безопасности pancak3 и Soufiane Tahiri заметили, что новый сайт-презентация REvil продвигается на RuTOR, форумной площадке, ориентированной на русскоязычных пользователей.
Новый сайт размещен на другом домене, но ведет на оригинальный, который REvil использовали до своего ареста силовиками из ФСБ России в январе 2022 года. Это подтвердили и зафиксировали перенаправление оба специалиста по кибербезопасности.
На сайте подробно описаны условия для аффилированных лиц, которые якобы получают улучшенную версию программного обеспечения REvil ransomware и долю 80/20 для присоединившихся к атаке с применением программы-вымогателя REvil ransomware.
На сайте также "выставлены трофеи" группы REvil. 26 страниц атакованных компаний, большинство из которых - жертвы старых атак банды хакеров-вымогателей, и только последние две, похоже, связаны с новой операцией. Одна из них - компания Oil India.
Через пару недель после ареста 14 членов банды в России исследователь безопасности MalwareHunterTeam сообщил, что с середины декабря прошлого года они заметили активность новой "команды" хакеров, занимающейся рассылкой программ-вымогателей. Предлагаемое ими ПО было очень похоже на Revil rznsomware, однако связь между двумя группировками, новой и бандой Revil, тогда обнаружить не удалось.
Позже исследователь заметил, что новый сайт-предложение, связанный с REvil, был открыт с 5 по 10 апреля, но без содержимого, и начал заполняться контекстом примерно через неделю после своего старта.
Еще одно наблюдение от MalwareHunterTeam заключается в том, что в источнике RSS-канала указана строка Corp Leaks, которая использовалась ныне несуществующей бандой Nefilim ransomware.
Блог и платежные порталы размещены на разных серверах. Обратив внимание на первый, специалисты по кибербезопасности заметил, что в блоге новой операции по распространению вымогательского ПО используется cookie с именем DEADBEEF - компьютерный термин, который использовался в качестве маркера файлов бандой вымогателей TeslaCrypt. Связь с субъектом угрозы вымогательства на данный момент невозможна, поскольку образцы новой полезной нагрузки на основе REvil еще предстоит проанализировать, а тот, кто стоит за новым сайтом, пока не назвал своего имени или принадлежности к какой-либо группировке.
В ноябре 2021 года, уже находясь под контролем силовиков, сайты со злодейским ПО и сайты приема оплаты REvil показывали страницу с заголовком "REvil is bad" и форму входа, первоначально через шлюзы TOR и по адресу .Onion.
Загадка перенаправлений, как недавних, так и прошлогодних, углубляется, поскольку это позволяет предположить, что кто-то, кроме правоохранительных органов, имеет доступ к приватным ключам TOR, которые позволили внести изменения для сайта .Onion.
На популярном русскоязычном хакерском форуме пользователи рассуждают, что есть на самом деле новый сайт. Возможно какие-то мошенники воспользовались былой славой хакеров Revil и пытаются обмануть доверчивых хакеров-малолеток. Или, имея доступ к ключам TOR, силовики решили таким образом заманить в свои "сети" как можно больше неосторожных злоумышленников. Или же это восставшая из пепла, как птица Феникс, группировка Revil пытается восстановить свою пошатнувшуюся репутацию.
Падение REvil
REvil ransomware имела долгую криминальную историю, начавшуюся в апреле 2019 года как продолжение операции GandCrab, которая первой создала модель ransomware-as-a-service (RaaS), или программа-вымогатель как услуга.
В августе 2019 года банда поразила несколько местных администраций в Техасе и потребовала коллективный выкуп в размере 2,5 миллиона долларов - самый высокий на тот момент.
Группа несет ответственность за атаку на цепочку поставок Kaseya, которая затронула около 1500 предприятий, и эта же операция привела группировку к гибели в прошлом году, когда правоохранительные органы по всему миру активизировали сотрудничество, чтобы уничтожить банду.
Вскоре после атаки на Kaseya банда взяла двухмесячный перерыв, еще не зная, что правоохранительные органы взломали их серверы. Когда REvil возобновила работу, они восстановили системы из резервных копий, забыв о компрометации.
В середине января Россия объявила о прекращении деятельности REvil после выявления всех членов банды и ареста 14 человек.
"В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило свое существование, нейтрализована информационная инфраструктура, использовавшаяся в преступных целях"
- Федеральная служба безопасности России.
В интервью "Российской газете" заместитель секретаря Совета безопасности РФ Олег Храмов заявил, что российское правоохранительное ведомство начало свое расследование в отношении члена группировки REvil с фамилии Пузыревский и IP-адреса, переданного США как принадлежащего главарю банды.