Depois de meses de inatividade, os servidores do REvil ransomware na rede TOR estão de volta a ativa e estão redirecionando para uma nova operação de ransomware lançada recentemente. Não está claro quem está por trás da nova operação conectada ao REvil, mas o novo site de vazamento lista um grande catálogo de vítimas de ataques anteriores do REvil, além de dois novos.
De acordo com o BleepingComputer, a gangue de ransomware redirecionando do site de vazamento original do REvil para o novo parece ser diferente de outros grupos que usaram uma carga útil do REvil corrigida no passado e que o redirecionamento foi observado ontem.
Alguns dias atrás, no entanto, os pesquisadores de segurança pancak3 e Soufiane Tahiri notaram que o novo site de vazamento do REvil estava sendo promovido no RuTOR, um mercado de fóruns que se concentra nas regiões de língua russa.
Novo site na nova operação de ransomware REvil
O novo site está hospedado em um domínio diferente, mas leva ao original REvil usado quando ativo, BleepingComputer confirmou hoje, enquanto dois pesquisadores capturaram o redirecionamento. O site de vazamento fornece detalhes sobre as condições para os afiliados, que supostamente recebem uma versão aprimorada do REvil ransomware e uma divisão de 80/20 para afiliados que coletam um resgate.
O site lista 26 páginas de vítimas, a maioria delas de ataques antigos do REvil, e apenas as duas últimas parecem estar relacionadas à nova operação. O pesquisador observou que o atual site de vazamento relacionado ao REvil estava entre 5 e 10 de abril, mas sem conteúdo e começou a ser preenchido cerca de uma semana depois.
O BleepingComputer aponta que, em um popular fórum de hackers de língua russa, os usuários estão especulando entre a nova operação ser uma farsa, um honeypot ou uma continuação legítima do antigo negócio REvil que perdeu sua reputação e tem muito o que fazer para recuperá-la.
Existem várias operações de ransomware que usam criptografadores REvil corrigidos ou estão representando o grupo original. Estes incluem o LV, que estava usando o criptografador do REvil antes que a polícia os desligou e o Ransom Cartel, que parece estar conectado ao REvil, mas o link não é claro.
A queda do REvil
O ransomware REvil teve um longo prazo que começou em abril de 2019 como uma continuação da operação GandCrab, a primeira que estabeleceu o modelo de ransomware como serviço (RaaS). Em agosto de 2019, a gangue atingiu várias administrações locais no Texas e exigiu um resgate coletivo de US$ 2,5 milhões (aprox. R$ 11,5 milhões).
O grupo é responsável pelo ataque à cadeia de suprimentos da Kaseya que afetou cerca de 1.500 empresas e também levou ao seu desaparecimento no ano passado, quando as autoridades em todo o mundo intensificaram sua colaboração para derrubar a gangue. Logo depois de bater na Kaseya, a gangue fez uma pausa de dois meses sem saber que as agências policiais haviam violado seus servidores. Quando o REvil reiniciou a operação, eles restauraram os sistemas a partir de backups, alheios ao comprometimento.
Em meados de janeiro, a Rússia anunciou que fechou o REvil depois de identificar todos os membros da gangue e prender 14 indivíduos.
Via: BleepingComputer
