DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

СМИ Инфраструктура вымогателя REvil неожиданно отключилась

GLOV

Авторитет
Проверенный продавец

GLOV

Авторитет
Проверенный продавец
Статус
Offline
Регистрация
22 Июн 2018
Сообщения
1,508
Реакции
13
Покупки через Гарант
0
Продажи через Гарант
0
Издание Bleeping Computer сообщает, что сайты и вся инфраструктура вымогателя REvil (Sodinokibi) в целом ушла в оффлайн без объяснения причин. Речь идет о целой сети обычных и даркнет-сайтов, которые используются для переговоров о выкупе, слива похищенных у жертв данных и внутренней инфраструктуры вымогателя. Теперь все они по какой-то причине не работают.

Журналисты и ИБ-эксперты пишут, что временное «падение» одного-двух ресурсов – это нормально, но полное отключение всей инфраструктуры выглядит крайне странно. К примеру, сайт decoder[.]re более вообще не резолвится помощью DNS-запросов, а это указывает на отключение всей DNS-инфраструктуры на бэкэнде или отсутствие DNS-записей домена.

Напомню, что в начале июля операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya. Для атаки хакеры использовали 0-day уязвимости в продукте компании (VSA).
Проблема в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
После этой атаки хакеры потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.
В прошлом месяце REvil тоже попала на первый полосы многих изданий, так как атаковала компанию JBS, которая является крупнейшим в мире поставщиком говядины и птицы, а также вторым по величине производителем свинины. Компания работает в США, Австралии, Канаде, Великобритании и так далее, обслуживая клиентов из 190 стран мира.
Так как давно известно, что REvil – русскоязычная хак-группа, на днях президент США Джо Байден в телефонном разговоре призвал президента России Владимира Путина пресечь атаки хакеров-вымогателей, действующих с территории РФ. Байден заявил, что если после этого Россия не примет меры, США будут вынуждены принять их сами.
«Я предельно ясно объяснил ему [Путину], что когда операция программы-вымогателя исходит с его территории, Соединенные Штаты ожидают, что даже если она не организована государством, они будут действовать, если мы предоставим им достаточно информации о том, кто к этому причастен», — сообщил Байден журналистам после телефонного разговора.
Также стоит отметить, что совсем недавно в похожих обстоятельствах свою деятельность экстренно прекратили операторы вымогателей DarkSide и Babuk. Первая группировка «закрылась» после масштабной атаки на американского оператора трубопровода Colonial Pipeline, так как привлекла к себе слишком много внимания (в том числе, со стороны правоохранительных органов). Вторая группа объявила о прекращении работы после громкой атаки на полицейское управление Вашингтона.

Представитель хак-группы, стоящей за вымогателем LockBit, сообщил на известном хакерском форуме XSS, что, по слухам, операторы REvil стерли свои серверы, узнав о некоем "запросе органов".


Вскоре после публикации этого сообщения администрация XSS забанила на форуме пользователя Unknown, публичного представителя группы REvil. Как правило, администрация хак-форумов блокирует пользователей в том случае, если есть подозрения, что аккаунт находится под контролем полиции.
 
Сверху