REvil Ransomware-Bande geht in den Untergrund, nachdem Tor-Seiten kompromittiert wurden

  • REvil, die berüchtigte Ransomware-Bande, die in den letzten Jahren für eine Reihe von Cyberangriffen verantwortlich war, scheint wieder von der Bildfläche verschwunden zu sein. Etwas mehr als einen Monat nach der überraschenden Rückkehr der Cyberkriminellen nach einer zweimonatigen Pause.

    Die Entwicklung, die zuerst von Dmitry Smilyanets von Recorded Future entdeckt wurde, kam, nachdem ein Mitglied der REvil-Operation im XSS-Hacking-Forum gepostet hatte, dass nicht identifizierte Akteure die Kontrolle über das Tor-Zahlungsportal und die Datenleck-Website der Gruppe übernommen hatten.

    [Blocked Image: https://thehackernews.com/images/-DVj5Uq05ZlA/YVHQqZ1yK1I/AAAAAAAA4Z0/_vfyQiMOAJUPXrS2DwuAwOa6sxkUDm9ogCLcBGAsYHQ/s728-e100/rewind-1-728.png]

    “Der Server wurde kompromittiert und sie haben nach mir gesucht. Um genau zu sein, löschten sie den Pfad zu meinem versteckten Dienst in der torrc-Datei und erhöhten ihren eigenen, so dass ich (sic) dorthin gehen würde. Ich habe es bei anderen überprüft – das war nicht der Fall. Viel Glück an alle, ich bin weg”, sagte Benutzer 0_neday in dem Beitrag.

    Zum Zeitpunkt der Erstellung dieses Artikels ist noch nicht klar, wer genau hinter der Kompromittierung der REvil-Server steckt, obwohl es nicht völlig überraschend wäre, wenn Strafverfolgungsbehörden eine Rolle beim Sturz der Domains gespielt hätten.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhuIKR4Sg_6Kh5JXDeK8URJRG3aqVUz5UAIYW96LQSAMKAwZLwjyJcPJa-iJEhLNbYnu3mbDkJwTtGkpaC7kSthH6DMU-S8ncJ4YtwhLjPUkpwCLvskoa4prsUJWqQhPF7WYwnsJjaWbvjpRvFOOzsbnPI_65gcbvxHyeWJwVnibfrXAKI8ZCE-qJul]

    Die mit Russland verbundene Ransomware-Gruppe war nach ihren Angriffen auf JBS und Kaseya Anfang des Jahres ins Visier der Öffentlichkeit geraten und hatte daraufhin ihre Darknet-Seiten im Juli 2021 vom Netz genommen. Am 9. September 2021 meldete sich REvil jedoch unerwartet zurück und stellte sowohl seine Datenleckseite als auch die Zahlungs- und Verhandlungsportale wieder online.

    Letzten Monat berichtete die Washington Post, dass das U.S. Federal Bureau of Investigation (FBI) den Opfern des Kaseya-Ransomware-Angriffs fast drei Wochen lang den Entschlüsselungscode vorenthalten hat, den es durch den Zugriff auf die Server der Gruppe erhalten hatte, als Teil eines Plans, die bösartigen Aktivitäten der Bande zu stören. “Die geplante Zerschlagung fand nie statt, weil die Plattform von REvil Mitte Juli offline ging – ohne Eingreifen der US-Regierung – und die Hacker verschwanden, bevor das FBI die Chance hatte, seinen Plan auszuführen”, heißt es in dem Bericht weiter.

    [Blocked Image: https://thehackernews.com/images/-kWDGRam_ORw/YWRg-LL2xVI/AAAAAAAA4cc/Ny7oMagb4fIy-HgQvhylVml7noMHEhWAgCLcBGAsYHQ/s300-e100/channel-300.png]

    Ein universelles Entschlüsselungsprogramm wurde schließlich Ende Juli von der rumänischen Cybersecurity-Firma Bitdefender freigegeben, nachdem sie den Schlüssel von einem “Strafverfolgungspartner” erhalten hatte.

    Während es nicht ungewöhnlich ist, dass sich Ransomware-Gruppen weiterentwickeln, abspalten oder unter neuen Namen reorganisieren, gerät das kriminelle Feld zunehmend ins Visier, um kritische Infrastrukturen anzugreifen, auch wenn immer mehr Cyberkriminelle die Rentabilität von Ransomware erkennen, die zum Teil durch die unregulierte Kryptowährungslandschaft unterstützt wird, was es den Bedrohungsakteuren ermöglicht, Opfer ungestraft für digitale Zahlungen zu erpressen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com