Em julho 2021, a infraestrutura do REvil (Sodinokibi) foi desligado sem explicação, mas agora os especialistas em segurança da informação notaram que os servidores REvil estão online novamente.
Tratava-se de toda uma rede de sites convencionais e darknet usados para negociar um resgate, vazar dados roubados das vítimas, bem como a infraestrutura interna do ransomware.
Não muito antes disso, no início de julho deste ano, Operadores REvil realizados um ataque em grande escala sobre os clientes do conhecido provedor de soluções MSP Kaseya. Para o ataque, os hackers usaram vulnerabilidades de dia 0 no produto da empresa (VSA).
O problema era que a maioria dos servidores VSA afetados eram usados por provedores MSP, aquilo é, empresas que gerenciam a infraestrutura de outros clientes. Isso significa que os cibercriminosos implantaram o ransomware em milhares de redes corporativas.
Depois deste ataque, os hackers exigiram um resgate de $70 milhão, e então prometeu publicar um descriptografador universal que pode desbloquear todos os computadores. O grupo logo “baixou a barra” para $50 milhão.
Além disso, pouco antes do ataque aos clientes, Kaseya REvil chegou às primeiras páginas de muitas publicações, pois atacou a JBS, o maior fornecedor mundial de carne bovina e de aves, bem como o segundo maior produtor de carne suína. A empresa opera nos EUA, Austrália, Canadá, Grã-Bretanha e assim por diante, atendendo clientes de 190 países ao redor do mundo. E também REvil atacou o fabricante de eletrônicos Acer.
Já se sabe há muito tempo que REvil é um grupo de hackers que fala russo, Presidente dos EUA, Joe Biden, em conversa telefônica perguntado O presidente russo, Vladimir Putin, impedirá os ataques de hackers de ransomware que operam no território da Federação Russa. Biden disse que se a Rússia não agir depois disso, os Estados Unidos serão forçados a assumir isso por conta própria.
Depois de desligar toda a infraestrutura do grupo hack, muitos especialistas acreditavam que o grupo havia se desmembrado e agora mudaria a marca, na tentativa de confundir as agências de aplicação da lei e as empresas de segurança da informação nos Estados Unidos.
Ao mesmo tempo, Kaseya algum dia obteve uma chave universal para descriptografar seus clientes’ dados. Então, alguns especialistas sugeriram que os policiais russos receberam a chave de descriptografia dos invasores e a entregaram ao FBI como um gesto de boa vontade..
Agora, quase dois meses após o desligamento, especialistas em Futuro Registrado e Emsisoft notei que o blog do grupo e o site onde os operadores do REvil costumavam postar listas de vítimas que se recusaram a negociar e pagar o resgate estão online novamente.
A última atualização do site foi datada de julho 8, 2021, aquilo é, nenhum novo dado e mensagem foi publicado. Atualmente não se sabe se isso significa que o grupo de hackers voltou ao trabalho, os servidores foram ligados novamente por engano, ou se tiver algo a ver com as ações das agências de aplicação da lei.
Deixe-me também lembrá-lo que falei sobre o fato de que O porta-voz do REvil se gaba de que hackers têm acesso a sistemas de lançamento de mísseis balísticos.