Die Tor-Seiten der berüchtigten Ransomware-Gruppe REvil sind nach monatelanger Inaktivität plötzlich wieder online.
Während die Gruppe im September 2021 alle ihre Websites abschaltete und den Betrieb im Wesentlichen einstellte, bevor sie Anfang dieses Jahres vom russischen FSB abgeschaltet wurde, werden ihre Tor-Sites jetzt auf eine neue Ransomware-Operation umgeleitet, die nicht gestartet wurde.
Bis jetzt ist noch unklar, wer oder welche Gruppe hinter dieser neuen Operation steckt, aber die neue Leak-Site enthält eine lange Liste ehemaliger REvil-Opfer sowie zwei neue.
Laut BleepingComputer haben die Sicherheitsforscher pancak3 und Soufiane Tahiri kürzlich Anzeigen entdeckt, die für die neue Leak-Site REvil auf dem russischen Online-Hacking-Forum RuTOR werben. Auch wenn die neue Site auf einer anderen Domain gehostet wird, führt sie immer noch zu der ursprünglichen, die REvil in seiner Blütezeit verwendet hat.
Wer betreibt die neue Leak-Site?
Während Cyberkriminelle damit begannen, ein Ransomware-as-a-Service (RaaS)-Modell zu verwenden, erklärt die neue Leak-Site, dass Partner eine verbesserte Version von REvil-Ransomware zusammen mit einer 80/20-Aufteilung aller Lösegeldzahlungen erhalten.
Was die Opfer betrifft, bietet die Seite eine Liste von 26 Seiten, und obwohl die meisten von früheren Angriffen stammen, scheinen die letzten beiden mit dieser neuen Operation in Verbindung zu stehen, und eine davon enthält Oil India.
Im November letzten Jahres, als die REvil-Zahlungs- und Datenleck-Sites noch unter der Kontrolle des FBI standen, zeigten beide Sites eine Seite mit dem Titel „REvil is bad“ zusammen mit einem Anmeldeformular. Obwohl die Seiten der Ransomware-Gruppe von Strafverfolgungsbehörden beschlagnahmt wurden, deuten diese Weiterleitungen darauf hin, dass jemand anderes Zugriff auf die privaten Schlüssel von Tor hat, die ihm erlaubten, Änderungen an der .Onion-Seite der Gruppe vorzunehmen.
Benutzer eines beliebten russischsprachigen Hacking-Forums haben angefangen zu streiten, ob die neu geleakte Seite ein Betrug, eine von den Behörden aufgestellte Falle oder eine legitime Fortsetzung der früheren Aktivitäten von REvil ist. Um die Sache noch verwirrender zu machen, gibt es derzeit mehrere Ransomware-Operationen, die die Verschlüsselungsprogramme von REvil verwenden oder sich einfach als die ursprüngliche Gruppe ausgeben.
Sobald Sicherheitsforscher sich die neue Leckstelle genauer ansehen, haben wir vielleicht endlich Antworten darauf, ob die REvil-Ransomware-Gruppe auf magische Weise von den Toten zurückgekehrt ist.
Über BleepingComputer
