Revil Ransomware çetesi tam olarak geri döndü ve bir kez daha yeni kurbanlara saldırıyor ve bir veri sızıntısı sitesinde çalınan dosyaları yayınladı.
2019 yılından bu yana, Revil Ransomware operasyonu, AKA Sodinokibi, bir şifre çözme anahtarı almak ve çalınan dosyaların sızdırılmasını önlemek için milyon dolarlık ransomlar talep ettikleri yerlerde dünya çapındaki kuruluşlara saldırılar yürütüyor.
Operasyondayken, çete, JBS, Coop, Travelex, GSMLAW, Kenneth Cole, Grupo Fleury ve diğerleri dahil olmak üzere tanınmış şirketlere karşı sayısız saldırıya katıldı.
Arfeter, altyapılarını kapattı ve en büyük kapıyımlarından sonra tamamen ortadan kayboldu.
Revil daha sonra tüm Kaseya kurbanları için evrensel bir şifre çözücüsü için 50 milyon dolar talep etti, MSP'nin şifre çözme için 5 milyon dolar ve etkilenen işletmelerindeki bireysel dosya şifreleme uzantıları için 44,999 $ fidye.
Bu saldırı, dünya çapında dünya çapında geniş çaplı sonuçlara sahipti.
Muhtemelen basınç ve yakalanma ile ilgili endişeler, revil çetesi, 13 Temmuz 2021'de aniden kapanıyor, birçok mağduru dosyalarını şifresini çözme yoluyla bir yüzüne bıraktı.
İnşaatı duyduğumuz son, Kaseya'nın kurbanların ücretsiz dosya şifresini çözmek için kullanabileceği evrensel bir şifreleme aldı. Kaseyin'in şifreliği nasıl aldığı belli değil, ancak "güvenilir bir üçüncü taraf" dan geldiğini belirtti.
Kapatılmalarından sonra, araştırmacılar ve kolluk kuvvetleri, tekrar tekrar yeni bir Ransomware operasyonu olarak yeniden inşa edileceğine inanıyordu.
Bununla birlikte, sürprizimize çok şey, tekrar Ransomware çetesi bu hafta aynı isimde hayata geri döndü.
7 Eylül'de, ortadan kalktıktan hemen hemen iki ay sonra, Tor Ödeme / Müzakere ve veri sızıntısı bölgeleri aniden geri döndü ve erişilebilir hale geldi. Bir gün sonra, Tor ödeme sitesine giriş yapmak ve Ransomware çetesi ile müzakere etmek için bir kez daha mümkün oldu.
Önceki kurbanların tümü zamanlayıcıları sıfırlamıştı ve fidye yazılımı çetesinin Temmuz ayında kapandığı zaman oldukları için terk etmelerinin kaldığı ortaya çıktı.
Bununla birlikte, 9 Eylül'e kadar yeni bir saldırı kanıtı yoktu, birisi 4 Eylül'de Virustotal'a derlenen yeni bir RIVIL Ransomware örneği yükledi.
Bugün, Ransomware Gangs, veri sızıntısı sitelerinde yeni bir kurban için çalınan verilerin ekran görüntüsünü yayınladıkları için yenilenen saldırılarının daha fazla kanıtını gördük.
Revil'in iadesi hakkında birinci el bilgisiniz varsa, +16469613731, @ lawrenceabrams-BC'deki tel, Wire, Lawrence.ABrams@anonym.im adresindeki sinyalle ilgili olarak bizimle iletişime geçebilirsiniz.
Geçmişte, arzu kamu temsilcisi, yeni iştirakleri işe alma ya da fidye yazılımı operasyonu hakkında haberleri göndermek için forumları kesmek için sıkça yayınlanan 'Bilinmeyen' veya 'INNT' olarak bilinen bir tehdit aktörüydü.
9 Eylül'de, Ransomware operasyonunun iadesinden sonra, basitçe 'tekrar "adlı yeni bir temsilci, çetenin bilinmeyen tutuklanmasına rağmen kısaca kapandığını iddia eden futbolları hacklemede yayınlamaya başlamıştı ve sunucular tehlikeye atıldı.
Bu yayınların bu çevirisi aşağıda okunabilir:
"Bilinmeyen (AKA 8800) ortadan kaybolduk, biz (kodlayıcılar) yedeklendi ve tüm sunucuları kapattık. Tutuklandığını düşündüm. Arama yapmaya çalıştık, ama boşuna yoktu. Biz bekledi - biz gelmedi ve biz restore etmedi Yedeklemelerden her şey.
Unkwn kaybolduktan sonra, hoster bize Clearnet sunucularının tehlikeye girdiğini ve onları bir kerede sildiklerini bildirdi. Ana sunucuyu hemen sonra tuşlarıyla kapattık.
Kanaya decryptor, iddiaya göre kanun yaptırımı tarafından sızdırılmış, aslında, şifreleme üretimi sırasında operatörlerimizden biri tarafından sızdırılmıştır. "- Revil
Bu iddialara dayanarak, Kaseya'nın evrensel decryptor, bazı tekrarlarca sunucularına eriştikten sonra kanun yaptırımı ile elde edildi.
Bununla birlikte, BleepingComputer, arzuların ortadan kaybolduğu sayısız kaynak tarafından söylendi.
Bir güvenlik araştırmacısı ve emekli olduğuna inanılanlar arasında bir sohbet, sadece bir mola verdiklerini iddia ettiğini iddia eden bir operatörle farklı bir hikaye boyalar.
Kaybetmenin gerçek nedenini asla bilemeyebilir veya Kaseya'nın şifre çözme anahtarını nasıl elde edemeyeceğiz, en önemli olanı, revil'in dünya çapındaki şirketleri hedefleme şirketlerine geri döndüğünü bilmek.
Yetenekli bağlılıklar ve sofistike saldırılar yapabilme yetenekleriyle, tüm ağ yöneticileri ve güvenlik profesyonelleri taktikleri ve tekniklerine aşina olmaları gerekir.
Ransomware'deki hafta - 10 Eylül 2021 - Revil Dönen
Revil Ransomware'in sunucuları gizemli bir şekilde çevrimiçi geri döndü
Ransomware çetesinin komut dosyası tam olarak oldukları dosyaları gösterir.
FBI: ONEPERCENT GROUP Ransomware, 2020 yılsından bu yana ABD ORG'lerini hedef aldı
Conti Ransomware gelir ve cyberinsiance veri hırsızlığına öncelik verir
Kaynak: Bleeping Computer