REvil, печально известный картель разработчиков шифровальщиков, стоящий за крупнейшими кибер-атаками на компании JBS и Kaseya, таинственным образом исчез из темной паутины, что породило предположения о том, что хакерская группа, возможно, была уничтожена.
Множество предположительно связанных с REvil сайтов Darknet, включая порталы утечки данных, вымогательства и платежей, оказались недоступны отображая сообщение об ошибке «Onionsite not found».
Tor-инфраструктура группы в темной паутине состоит из одного сайта блога об утечке данных и 22 сайтов хостинга данных. Пока неясно, что послужило причиной отключения инфраструктуры.
REvil - одна из самых плодовитых групп ransomware-as-a-service (RaaS), которая впервые появилась на сцене угроз в апреле 2019 года как эволюция шифровальщика GandCrab, который появился на подпольных рынках в начале 2018 года.
«Если деятельность REvil будет окончательно прервана, это ознаменует конец группы, которая только в этом году совершила более 360 атак на государственный и частный секторы США» - написал в Твиттере Бретт Каллоу из Emsisoft.
Это неожиданное событие произошло сразу после широкомасштабной атаки шифровальщика на цепочку поставок компании-поставщика технологических услуг Kaseya, ответственность за которую взяла на себя группа REvil (она же Sodinokibi), потребовавшая выкуп в размере 70 миллионов долларов за разблокировку доступа к зашифрованным системам в обмен на универсальный ключ дешифровки, который откроет доступ ко всем данным жертв.
В результате катастрофической атаки через уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA были зашифрованы около 60 поставщиков управляемых услуг (MSP) и более 1 500 предприятий. В конце мая REvil также организовала атаку на крупнейшего в мире производителя мяса JBS, который в итоге заплатил вымогателям 11 миллионов долларов чтобы оправиться от инцидента.
Исчезновение группы также совпадает по времени с телефонным разговором президента США Джо Байдена с президентом России Владимиром Путиным на прошлой неделе, в котором были достигнуты договоренности о предприятии шагов по пресечению деятельности групп шифровальщиков, действующих в России.
«Ситуация все еще развивается, но есть основания полагать, что REvil подверглась спланированному одновременному уничтожению инфраструктуры либо самими операторами, либо в результате действий правоохранительных органов» - заявил CNBC Джон Халтквист из FireEye Mandiant.
Похоже, что Happy Blog группы REvil был отключен около часа ночи по восточному времени во вторник. Vx-underground отмечает, что представитель группы известный под псевдонимом «Unknown» не оставлял постов на популярных хакерских форумах, таких как Exploit и XSS, с 8 июля.
Впоследствии представитель хакерской группы шифровальщиков LockBit написал на русскоязычном хакерском форуме XSS, что инфраструктура кибер-атак REvil получила правительственный юридический запрос, в результате чего серверы были демонтированы. «REvil забанены на XSS» - добавил позже vx-underground.
Это не редкость, когда группировки шифровальщиков ложатся на дно после получивших широкую огласку инцидентов. После того как в мае банда DarkSide атаковала компанию Colonial Pipeline, операторы объявили о планах навсегда свернуть свою партнерскую программу RaaS, заявив, что ее серверы были захвачены неизвестными правоохранительными органами, что вызвало вопросы о том, действительно ли группа ушла из бизнеса или просто провела ребрендинг.
Эта теория подтвердилась несколько недель спустя, когда в прошлом месяце Министерство юстиции США сообщило, что ему удалось вернуть большую часть денег, выплаченных компанией Colonial Pipeline группе DarkSide, благодаря анализу bitcoin-трафика.
Необъяснимое прекращение деятельности REvil аналогичным образом может быть как запланированным «уходом на пенсию», так и временной мерой перед тем как в конечном итоге вновь собраться под новой личиной чтобы привлекать меньше внимания, или же это могло быть следствием усиления международного внимания в связи с глобальным кризисом атак шифровальщиков.
Если окажется, что группировка действительно прекратила свою деятельность, это приведет к тому, что ее жертвы окажутся в затруднительном положении не имея возможности договориться о выкупе и получить ключи дешифровки, необходимые для восстановления контроля над своими системами, что навсегда лишит их доступа к данным.
«Я не знаю, что это значит, но, независимо от этого, я счастлива!» - написала в Твиттере Кэти Никельс, директор по разведке Red Canary. «Если это правительственная атака - здорово, они принимают меры. Если хакеры добровольно замолчали - отлично, возможно, они напуганы».
Источник: https://thehackernews.com
