Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.
Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.
Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.
REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.
Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.
Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.
Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.
Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.
Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.
Selengkapnya: Bleeping Computer
