Программа-вымогатель REvil снова закрывается после взлома сайтов Tor

Программа-вымогатель REvil снова закрывается после взлома сайтов Tor

Источник · Перевод автора

Операция вымогателя REvil, вероятно, снова прекратилась после того, как неизвестный человек захватил их платежный портал Tor и блог об утечках данных.

Ранее сегодня сайты Tor были отключены, а злоумышленник, связанный с операцией REvil, разместил на форуме XSS-хакеров сообщение о том, что кто-то захватил домены банды.

Поток был впервые обнаружен Дмитрием Смилянецом из Recorded Future и заявляет, что неизвестный человек захватил скрытые службы Tor (луковые домены) с теми же закрытыми ключами, что и сайты Tor REvil, и, вероятно, имеет резервные копии сайтов.

Но поскольку у нас сегодня в 17.10 с 12:00 по московскому времени кто-то поднял скрытые сервисы лендинга и блога с теми же ключами, что и наш, мои опасения подтвердились. У третьей стороны есть резервные копии с луковыми сервисными ключами, “злоумышленник, известный как ‘0_neday’, разместил сообщение на хакерском форуме.

Злоумышленник заявил, что не обнаружил никаких признаков взлома своих серверов, но будет прекращать операцию.

Затем злоумышленник сказал аффилированным лицам связаться с ним для получения ключей дешифрования кампании через Tox, вероятно, чтобы филиалы могли продолжить вымогательство у своих жертв и предоставить дешифратор, если будет выплачен выкуп.

Чтобы запустить скрытую службу Tor (домен .onion), вам необходимо сгенерировать пару закрытого и открытого ключей, которая используется для инициализации службы.

Закрытый ключ должен быть защищен и доступен только доверенным администраторам, так как любой, у кого есть доступ к этому ключу, может использовать его для запуска той же службы .onion на своем собственном сервере.

Поскольку третья сторона смогла захватить домены, это означает, что у них тоже есть доступ к закрытым ключам скрытой службы.

Этим вечером 0_neday снова разместил сообщение на форуме о взломах, но на этот раз сообщил, что их сервер был скомпрометирован и что тот, кто это сделал, нацелился на злоумышленника.

На данный момент неизвестно, кто взломал их серверы.

Поскольку Bitdefender и правоохранительные органы получили доступ к главному ключу дешифрования REvil и выпустили бесплатный дешифратор, некоторые злоумышленники считают, что ФБР или другие правоохранительные органы получили доступ к серверам с момента их перезапуска.

Поскольку никто не знает, что случилось с Неизвестным, также возможно, что злоумышленник пытается восстановить контроль над операцией.

REvil, скорее всего, отключится навсегда

После того, как REvil провела массовую атаку на компании через уязвимость нулевого дня в платформе Kaseya MSP, операция REvil внезапно прекратилась, и их публичный представитель,Unknown, исчез.

После того, как Unknown не вернулся, остальные операторы REvil снова запустили операцию и веб-сайты в сентябре, используя резервные копии.

С тех пор программа-вымогатель изо всех сил пыталась привлечь пользователей, доходя до увеличения комиссионных до 90%, чтобы побудить других злоумышленников работать с ними.

Из-за этой последней неудачи работа на текущем форуме, скорее всего, прекратится.

Однако, когда дело доходит до программ-вымогателей, ничто не длится вечно, и вскоре мы, скорее всего, увидим, что они будут переименованы в новую операцию.