Сайты вымогателей REvil в очередной раз отключились. Теперь из-за взлома onion-доменов
Даркнет-сайты хакерской группировки REvil ушли в офлайн после того, как 17 октября неизвестные взяли под контроль их портал для приема платежей и блог об утечках данных.
RIP 🪦 #REvil pic.twitter.com/LJKnJI9YtW
— 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) October 17, 2021
Связанный с операторами вымогателя злоумышленник под ником 0_neday разместил на хакерском форуме XSS сообщение о захвате onion-доменов REvil.
«Поскольку 17 октября с 12:00 по МСК кто-то поднял скрытые сервисы лендинга и блога с теми же ключами, что и наши, мои опасения подтвердились. У третьей стороны есть бэкапы с ключами от onion-сервисов», — написал 0_neday.
Для запуска скрытой службы Tor необходимо сгенерировать пару открытого и закрытого ключей. Последний должен быть доступен только доверенным администраторам, поскольку его владелец сможет запустить ту же службу .onion на своем собственном сервере.
Позже 0_neday сообщил, что сервер группировки был скомпрометирован, и организатор атаки нацеливался именно на REvil. Хакер решил прекратить все операции и предложил аффилированным лицам связаться с ним через Tox для получения ключей дешифрования, чтобы иметь возможность самостоятельно продолжать вымогательство у жертв.
На момент написания неизвестно, кто именно стоял за компрометацией хакерских доменов, однако эксперты не исключают причастность ФБР или других правоохранительных органов.
Другим возможным объяснением может быть попытка восстановления контроля над сайтами со стороны представителя REvil, известного под никами Unknown или UNKN. После перезапуска операций шифровальщика он исчез и, по слухам, был арестован, однако что с ним случилось, доподлинно неизвестно.
Напомним, специалисты считают REvil, также известную под названием Sodinokibi, одной из крупнейших хакерских группировок в мире. По данным американских спецслужб, ежемесячно кибермошенники проводили не менее 15 атак. В 2020 году заработок вымогателей превысил $100 млн.
В ночь на 13 июля 2021 года даркнет-сайты REvil внезапно ушли в офлайн. В их числе был используемый для публикации данных о жертвах Happy Blog, а также сайты для обсуждения суммы выкупа и приема платежей.
В сентябре операторы REvil с помощью резервных копий запустили сайты и начали поиск потенциальных партнеров.
Источник: Источник