0
0
A infraestrutura e os sites para a operação de ransomware REvil ficaram misteriosamente offline a partir de ontem à noite.
A operação REvil ransomware, também conhecida como Sodinokibi, opera através de vários sites claros e dark web usados como sites de negociação de resgate, sites de vazamento de dados de ransomware e infraestrutura de back-end.
A partir de ontem à noite, os sites e a infraestrutura usados pela operação de ransomware REvil foram misteriosamente desligados.
“Em termos simples, esse erro geralmente significa que o site de cebola está offline ou desativado. Para ter certeza, você precisaria entrar em contato com o administrador do site de cebola”, disse Al Smith, do Projeto Tor, ao BleepingComputer.
Embora não seja inédito que os sites REvil percam conectividade por algum tempo, todos os sites para desligar simultaneamente são incomuns.
Além disso, o site decodificador[.]re clear não é mais resolúvel por consultas DNS, possivelmente indicando que os registros DNS do domínio foram puxados ou que a infraestrutura DNS de back-end foi encerrada.
Alan Liska, da Recorded Future, disse que os sites da REvil ficaram offline por volta da 1h EST desta manhã.
Esta tarde, o representante do ransomware LockBit postou no fórum de hackers de língua russa XSS que há rumores de que a gangue REvil apagou seus servidores depois de saber de uma intimação do governo.
“Após informações não corroboradas, a infraestrutura do servidor REvil recebeu uma solicitação legal do governo forçando a REvil a apagar completamente a infraestrutura do servidor e desaparecer. No entanto, isso não está confirmado”, diz o post em russo traduzido para o inglês para BleepingComputer por Vitali Kremez, da Advanced Intel.
Logo depois, o administrador do XSS proibiu o ‘Desconhecido’ do REvil, o representante público da gangue ransomware, do fórum.
“Como regra geral, a administração dos principais fóruns proíbe seus usuários quando suspeitos de estarem sob o controle policial”, explicou Kremez.
Se você tiver informações em primeira mão sobre o desligamento, entre em contato conosco confidencialmente pelo telefone Signal pelo telefone +16469613731 ou pelo telefone Wire em @lawrenceabrams-bc.
Sentindo o calor
Em 2 de julho, a gangue de ransomware REvil criptografou aproximadamente 60 provedores de serviços gerenciados (MSPs) e mais de 1.500 empresas individuais usando uma vulnerabilidade de dia zero no software de gerenciamento remoto Kaseya VSA.
Como parte desses ataques, REvil inicialmente exigiu US$ 70 milhões por um decodificador universal para todas as vítimas, mas rapidamente reduziu o preço para US$ 50 milhões.
Desde então, o grupo ransomware tem estado sob maior escrutínio pela aplicação da lei, o que não parecia incomodar ‘Desconhecido’,
Como essas gangues de ransomware geralmente operam fora da Rússia, o presidente Biden tem conversado com o presidente Putin sobre os ataques e alertou que, se a Rússia não agisse sobre atores de ameaças em suas fronteiras, os EUA agiriam por conta própria.
“Dixei muito claro para ele que os Estados Unidos esperam quando uma operação de ransomware está vindo de seu solo, mesmo que não seja patrocinada pelo estado, esperamos que eles ajam se lhes dermos informações suficientes para agir sobre quem é”, disse Biden depois de assinar uma ordem executiva na Casa Branca.
Neste ponto, não está claro se o desligamento de servidores pela REvil é por razões técnicas, se a gangue encerrou sua operação ou se ocorreu uma operação policial russa ou nos EUA.
Outros grupos de ransomware, como DarkSide e Babuk, fecharam voluntariamente devido ao aumento da pressão da aplicação da lei.
No entanto, quando os grupos de ransomware são desligados, os operadores e afiliados geralmente rebatizados como uma nova operação para continuar realizando ataques de ransomware. Isso foi visto no passado quando GandCrab fechou e muitos de seus membros se relançaram como REvil.
Babuk também foi relançado como Babuk v2.0 depois que o grupo original se fragmentou devido a diferenças na forma como os ataques foram conduzidos.
O FBI se recusou a comentar sobre o fechamento dos servidores do REvil.
Esta é uma história em desenvolvimento.
Atualização 13/07/21 18:31 EST: Adicionadas mais informações sobre fóruns de hackers.
FONTE: BLEEPING COMPUTER