Темные веб-порталы, которые когда-то находились под управлением банды вымогателей REvil, сегодня вернулись в сеть, что вызвало опасения, что знаменитая банда вымогателей вскоре возобновит свои атаки.
Во время выходных 4 июля в США группа отключила свою веб-инфраструктуру после массовой атаки программ-вымогателей на серверы Kaseya. Это были те самые инциденты, которые привлекли внимание официальных лиц Белого дома.
Однако власти США и России отрицают какую-либо причастность к загадочному исчезновению этой русскоязычной банды вымогателей.
В то время похоже, что группа была расформирована и планировала провести новую атаку с помощью программы-вымогателя на различных следователей правоохранительных органов США и охранные фирмы.
Вскоре после роста числа атак программ-вымогателей в США Джо Байден (президент США) проявил инициативу и провел совещание по кибербезопасности с руководителями различных технологических гигантов. Целью этой встречи было обсудить, как компании обеспечивают кибербезопасность после недавних волн атак программ-вымогателей и нарушений безопасности.
Согласно твитам в социальных сетях различных исследователей безопасности, несколько веб-сайтов, в том числе Happy Blog, напрямую связанных с REvil, снова появились.
Согласно твиту главного редактора bleeping computer, последняя запись была сделана жертвой, подвергшейся нападению 8 июля.
По словам эксперта по программам-вымогателям Аллана Лиски, возвращение REvil было неизбежным, но на этот раз с другим именем и новым вариантом программы-вымогателя.
На какое-то время у них определенно стало жарко, поэтому им нужно было дать правоохранительным органам остыть. Проблема (для них) в том, что если это действительно одна и та же группа, использующая ту же инфраструктуру, они на самом деле не купили себе никакой дистанции от правоохранительных органов или исследователей, что снова вернет их под прицел буквально каждого закона. Группа правоприменения в мире (кроме России). Я также добавлю, что я проверил все обычные репозитории кода, такие как VirusTotal и Malware Bazaar, и я еще не видел никаких новых опубликованных образцов. Таким образом, если они и запустили какие-либо новые атаки программ-вымогателей, то их было немного.
Как заявил аналитик Emisoft по угрозам Бретт Кэллоу, в этом году REvil атаковал не менее 360 организаций в США.
Несколько жертв REvil оказались в затруднительном положении даже после закрытия группы в июле. Например, Майк Гамильтон, бывший директор по информационной безопасности в Сиэтле, а ныне директор по информационной безопасности компании Critical Insight, занимающейся устранением программ-вымогателей, сказал, что одна компания заплатила выкуп после атаки Kaseya и получила ключи дешифрования от REvil, но обнаружила, что они не работают.
Некоторые из наших клиентов легко отделались. Если у вас был установлен этот агент на неважных компьютерах, вы просто пересобирали их и возвращались к жизни. Но несколько дней назад мы получили сигнал бедствия от компании, которая сильно пострадала из-за того, что у них была компания, управляющая большим количеством их серверов с помощью Kaseya VSA. У них было много атак на их серверы, и у них было много информации о них, поэтому они обратились в свою страховую компанию и решили заплатить выкуп».
Согласно отчету, опубликованному охранной компанией BlackFog, из всех атак программ-вымогателей в августе на REvil приходилось более 23% атак, отслеженных ими в прошлом месяце. Это больше, чем у любой другой группы, отмеченной в отчете.