22/04/22
Принадлежащие кибервымогательской группировке REvil серверы в сети Tor возобновили работу после нескольких месяцев простоя и теперь переадресовывают посетителей на новую кибервымогательскую операцию, начавшуюся в середине декабря прошлого года.
Кто стоит за новой операцией, неизвестно, однако в списке жертв на новом сайте утечек числятся прошлые жертвы REvil.
Несколько дней назад исследователи безопасности pancak3 и Суфиан Тахири (Soufiane Tahiri) обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.
В январе 2022 года, вскоре после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что в середине декабря 2021 года была зафиксирована активность новой группировки, связанной с REvil, но что это за связи, он не уточнил. В период с 5 по 10 апреля он заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.
MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.
Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.
Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя. Исследователям еще предстоит проанализировать связанную с REvil полезную нагрузку, а сама группировка пока не сообщает ничего, что могло бы пролить свет на ее происхождение.
