Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Ключевые участники REvil сменили род деятельности после взлома серверов REvil

03/12/21

hack126Аналитик по кибербезопасности испанского гиганта финансовых услуг Santander Group Хуан Антонио Веласко рассказал о недавних карьерных изменениях четырех предполагаемых участников вымогательской группировки REvil, использующих псевдонимы Orange, MRT, Kajit и 999.

Все они какое-то время были активны на различных подпольных форумах. Orange был главным администратором хакерского форума Ramp и сообщил подробности деятельности вымогательской группировки Babuk после ее атаки на столичное полицейское управление Вашингтона в апреле 2021 года. 999 был модератором форума Ramp. Kajit также выполнял некоторые обязанности модератора и действовал на конкурирующих форумах, таких как XSS и Exploit.

Киберпреступники сменили род деятельности 18 октября нынешнего года после того, как серверы группировки REvil были взломаны . Orange, MRT и 999 решили заняться частной деятельностью, а Kajit взял на себя роль администратора Ramp. Анализ трафика на криминальных форумах, проведенный Веласко, позволяет предположить, что он или она теперь поддерживает связь с операторами вымогателя REvil. Kajit также инициировал(ла) редизайн форума Ramp.

Как отметил исследователь, 18 октября серверы REvil были отключены, однако это не означает прекращение преступной деятельности группировки. По словам Веласко, операции теперь разделены между группами, которые взламывают сети, а затем продают доступ брокерам начального доступа. Последние, в свою очередь, перепродают возможность доступа хакерам, осуществляющим фактический взлом сетей жертвы, установку программ-вымогателей и кражу данных.

Брокеры доступа разделились на розничных и оптовых торговцев. Последние продают наборы доступов к сетям по цене от $10 тыс. до $20 тыс. Розничные продавцы продают доступы к отдельным сетям по цене от $300 до $1 тыс.

Злоумышленники активно ищут партнеров на форумах и прочих ресурсах. Между брокерами начального доступа и преступниками складываются долгосрочные отношения. Как отметил Веласко, форумы создают инструменты для безопасного проведения транзакций.

Более того, администраторы форума Ramp обратились к китайским коллегам с предложением участвовать в обсуждениях, делиться советами и сотрудничать при атаках. Влиятельные пользователи и администраторы форума активно пытались общаться с новыми участниками форума на китайском языке с помощью машинного перевода.

Темы:ИсследованиеУгрозыВымогателиrevilSantander Group
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...