Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.
Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.
Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.
Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.
Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.
Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.
Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.
Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].
Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.
Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.
Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.
Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.
Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.
Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).
Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.
Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.
Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.
Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.
Sumber : Bleeping Computer
