گروه باج افزار REvil پس از ربوده شدن سایت های Tor آن تاریک می شود – TechCrunch

REvil ، باند بدنام باج افزار مرتبط با روسیه که مسئول حملات سایبری برجسته در Kaseya ، Travelex و JBS در اوایل سال جاری بود ، پس از اینکه پورتال پرداخت Tor و وبلاگ نشت اطلاعات آن ربوده شد ، دوباره ناپدید شد.

تعطیلی هفته ها پس از ظهور مجدد گروه پس از یک وقفه چند ماهه صورت می گیرد ، که طی آن گروه پس از مواجهه با گرمای دولت آمریکا در واکنش به حمله به Kaseya ، که منجر به آلوده شدن هزاران شرکت به باج افزار شد ، سکوت کرد. خبر تعطیلی را ابتدا یک بازیگر تهدید شناخته شده که وابسته به عملیات REvil است در یک پست در مجمع شناخته شده جنایی ، اولین بار توسط Recorded Future’s کشف کرد دیمیتری اسمیلانتسبه

پست بازیگر تهدید می گوید خدمات Tor گروه ربوده شده و کپی کلیدهای خصوصی گروه جایگزین شده است ، که احتمالاً از نسخه قبلی تهیه شده است. در این پست آمده است: “سرور به خطر افتاده بود و آنها به دنبال من بودند.” “به طور دقیق ، آنها مسیر سرویس مخفی من را در فایل torrc حذف کردند [used for configuring the Tor service] و خودشان را بزرگ کردند تا من به آنجا بروم. من دیگران را بررسی کردم – این نبود. همگی موفق باشید ، من رفتم. “

ظاهر سایت REvil’s Tor در زمان انتشار پس از ربوده شدن ظاهری چگونه است. (تصویر: TechCrunch)

در زمان نگارش این مقاله ، مشخص نیست چه کسی سرورهای REvil را به خطر انداخته است. در گزارشی از واشنگتن پست در ماه سپتامبر آمده است که FBI کلیدهای رمزگذاری گروه را برای شرکت هایی که در ماه جولای در حمله Kaseya مورد حمله قرار گرفته اند به دست آورده است ، اما پس از ناپدید شدن گروه ، حذف برنامه ریزی شده این سازمان هرگز اتفاق نیفتاد. برخی دیگر به تصاحب احتمالی یکی از اعضای سابق گروه ، معروف به “Unkn” یا ناشناخته ، سخنگوی قدیمی گروه ، اشاره می کنند که هنگامی که بقیه اعضای گروه در سپتامبر دوباره ظاهر شدند ، بازنگشت.

بازیگر تهدید در پست انجمن خود توضیح داد: “از آنجا که هیچ دلیل برای از دست دادن او وجود نداشت ، ما کار را از سر گرفتیم و تصور کردیم که او مرده است.” “اما از آنجا که ما امروز ساعت 17.10 از ساعت 12:00 به وقت مسکو داریم ، کسی خدمات پنهان فرود و باتلاقی را با همان کلید ما ارائه داد ، ترس من نگران بود.”

VX-Underground ، وب سایتی که میزبان کد منبع ، نمونه ها و مقالات بدافزار است ، توییت کرد که فقط ناشناس و تهدید کننده ارسال کننده انجمن دارای کلیدهای دامنه REvil بودند و اخیراً با استفاده از کلیدهای ناشناخته به دامنه گروه ransomware دسترسی پیدا کرده است.

باید منتظر ماند و دید آیا REvil – که به گفته اکثر مکمل های باج افزار در سه ماهه دوم امسال شناسایی شده است – برای همیشه از بین رفته است یا خیر. اما از زمان ظهور غافلگیرکننده این گروه در ماه سپتامبر ، این گروه برای جذب کاربران دچار مشکل شده است و گروه را مجبور به این کار کرد کمیسیون های وابسته خود را افزایش دهد برای جلب بازیگران تهدید جدید