REvil Tor-Seiten erwachen wieder zum Leben

REvil Tor-Seiten erwachen wieder zum Leben

Die Tor-Seiten der berüchtigten Ransomware-Gruppe REvil waren nach monatelanger Ausfallzeit plötzlich wieder online.

Während die Gruppe im September 2021 alle ihre Websites lahmlegte und im Wesentlichen den Betrieb einstellte, bevor sie Anfang des Jahres vom russischen FSB abgeschaltet wurde, werden ihre Seiten auf Tor nun auf eine neue Ransomware-Operation umgeleitet, die nicht kürzlich gestartet wurde.

Derzeit ist noch unklar, wer oder welche Gruppe hinter dieser neuen Operation steckt, aber die neue Leak-Site enthält eine lange Liste ehemaliger REvil-Opfer sowie zwei neue.

Laut BleepingComputer haben die Sicherheitsforscher pancak3 und Soufiane Tahiri kürzlich auf dem russischen Online-Hacking-Forum RuTOR Werbung für die neue Leak-Site REvil entdeckt. Auch wenn die neue Site auf einer anderen Domain gehostet wird, führt sie immer noch zum Original, das REvil in seiner Blütezeit verwendete.

Wer betreibt die neue Leak-Site?

Während Cyberkriminelle begonnen haben, ein Ransomware-as-a-Service (RaaS)-Modell zu nutzen, erklärt die neue Leak-Site, dass Partner eine aktualisierte Version der REvil-Ransomware zusammen mit einer 80/20-Aufteilung aller Lösegeldzahlungen erhalten.

Was die Opfer angeht, bietet die Website eine Liste mit 26 Seiten, und obwohl die meisten von früheren Angriffen stammen, scheinen die letzten beiden mit dieser neuen Operation in Zusammenhang zu stehen, und eine davon betrifft Oil India.

Im November letzten Jahres, als die REvil-Zahlungs- und Datenleckseiten noch unter der Kontrolle des FBI standen, zeigten beide Seiten eine Seite mit dem Titel „REvil ist schlecht“ zusammen mit einem Anmeldeformular an. Obwohl die Strafverfolgungsbehörden die Websites der Ransomware-Gruppe beschlagnahmt haben, deuten diese Weiterleitungen darauf hin, dass jemand anderes Zugriff auf die privaten Tor-Schlüssel hatte, die es ihm ermöglichten, Änderungen an der .Onion-Website der Gruppe vorzunehmen.

Benutzer eines beliebten russischsprachigen Hacking-Forums haben begonnen zu diskutieren, ob es sich bei der neuen durchgesickerten Website um einen Betrug, eine von den Behörden geschaffene Falle oder eine legitime Fortsetzung der früheren Aktivitäten von REvil handelt. Um die Sache noch verwirrender zu machen, gibt es derzeit mehrere Ransomware-Operationen, die REvil-Verschlüsselungsprogramme verwenden oder sich einfach als die ursprüngliche Gruppe ausgeben.

Sobald Sicherheitsforscher einen genaueren Blick auf die neue Leak-Site werfen, könnten wir endlich einige Antworten darauf haben, ob die REvil-Ransomware-Gruppe auf magische Weise von den Toten zurückgekehrt ist.

Über BleepingComputer