18/10/21
Нашумевшая вымогательская группировка REvil снова исчезла с радаров, всего через месяц после своего внезапного возвращения.
Первым неладное заподозрил специалист Recorded Future Дмитрий Смилянец, обнаруживший сообщение на хакерском форуме XSS от одного из связанных с REvil киберпреступников. Согласно сообщению, неизвестные захватили контроль над платежным порталом группировки в Tor и ее сайтом утечек.
"Они взломали сервер и искали меня. Говоря точнее, они удалили путь к моему скрытому сервису в файле torrc, создали собственный и ждали, когда я приду. Я проверил остальных - этого не было. Всем удачи, я все", - говорится в сообщении, опубликованном пользователем под псевдонимом user 0_neday.
Кто стоит за взломом серверов REvil, неизвестно, но вполне вероятно, что здесь не обошлось без спецслужб.
Проблемы у REvil начались в нынешнем году после атак на компании JBS и Kaseya, и в июле ей пришлось отключить свои сайты в даркнете. Однако 9 сентября группировка неожиданно вернулась , восстановив и свои сайты, и платежные порталы.
Как сообщалось в прошлом месяце, ФБР на три недели утаило от жертв атаки на Kaseya инструмент для восстановления зашифрованных вымогателями файлов, полученный с серверов группировки в рамках операции по ее ликвидации. Однако операция так и не была проведена, поскольку в середине июля платформа REvil ушла в offline без вмешательства американских властей. Другими словами, хакеры скрылись до того, как ФБР успело привести свой план в действие.
Универсальный дешифратор в итоге был выпущен румынской ИБ-компанией Bitdefender, заявившей, что получила его от "партнера из правоохранительных органов".
