سرور های باج افزار REvil بصورت مجدد آنلاین شده اند.

سرور های باج افزار REvil بصورت مجدد آنلاین شده اند.

سرور های دارک وب برای فعالیت باج افزار مخرب REvil بصورت ناگهانی پس از دو ماه مجددا فعال شده اند. همچنان مشخص نیست که آیا این سرور ها توسط خود هکران باز گشته است یا توسط مقامات قانونی روشن شده اند.

سرور های دارک وب برای فعالیت باج افزار مخرب REvil بصورت ناگهانی بعد از دو ماه مجددا فعال شده اند. همچنان مشخص نیست که آیا این سرور ها توسط خود هکران باز گشته است یا توسط مقامات قانونی روشن شده اند.

در تاریخ 2 ژوئن، هکران پشت پرده ی این باج افزار خطرناک، از یک آسیب پذیری روز صفر در سیستم مدیریت از راه دور یک نرم افزار استفاده کردند تا تقریبا 60 سرویس ارائه دهنده ی سرویس MSP و 1500 نرم افزار زیر مجموعه های آن را آلوده کنند.
سپس بعد از آن، باج افزار REvil درخواست 5 میلیون دلار از این سرویس های ارائه دهنده ی MSP را برای رمزگشای این باج افزار میکند و یا اینکه به ازای هر فرمت فایل کد شده 44.999 هزار دلار بایستی پرداخت کنند.
این گروه نیز درخواست 70 میلیون دلار برای کلید مستر (اصلی) این باج افزار، برای رمزگشایی تمام قربانیان باج افزار Kaseya کردند ولی پس از مدتی کوتاه قیمت را تا 50 میلیون دلار کاهش دادند.
پس از این حمله، گروهک باج گیران با فشار زیاد از سوی مقامات قانونی و کاخ سفید مواجه شدند که گفته بودند که در صورت انجام ندادن اقدامی از سوی مقامات روسیه در حوزه استحفاظی خودشان، مقامات آمریکایی خود دست بکار شوند.
کمی بعد، اعضای باج گیران REvil ناپدید شدند و تمامی سرور های تور و زیرساخت های آنان خاموش شدند.
تا به امروز، هنوز مشخص نیست که چه اتفاقی آن زمان افتاد ولی دست قربانیان باج افزاری که سعی داشتند برای دریافت کلید رمزگشا با هکران وارد مذاکره شوند را داخل پوست گردو بگذارند.
بطور عجیبی، Kaseya بعد تر، کلید مستر رمزگشایی باج افزار برای قربانیان را دریافت کرد و اذعان داشت که از سوی یک منبع موثق آن را دریافت کرده است ولی باور بر آن است که سازمان اطلاعات و امنیت روسیه کلید رمزگشایی را از هکران دریافت کرده است.
زیربنای REvil به صورت ناگهانی باز میگردد.
امروز، هر دو وبسایت تور مذاکره/پرداخت و ‘Happy Blog’ وبلاگ انتشار اطلاعات لو رفته آنلاین شده اند.
اطلاعات مربوط به جدید ترین قربانی REvil در تاریخ 8 جولای 2021، فقط 5 روز پیش از ناپدید شدن مرموز REvil، در وبسایت این گروه منتشر شد.

باج افزار REvil

برعکس سایت انتشار اطلاعات، که قابل استفاده است، سایت تور مذاکرات به نظر نمیرسد که به صورت کامل قابل استفاده باشد. در حالی که صفحه ی ورود را نمایش میدهد، همانند تصویر زیر، اما به قربانیان اجازه ی ورود به سایت را نمیدهد.

 

 

باج افزار REvil

 

سایت رمزگشای گروه همچنان آفلاین است.
همچنان نا معلوم است که آیا این گروه باج افزار به فعالیت برگشته است یا خیر اما سرور ها سهوا آنلاین شده یا به علت فعالیت نهاد های قانونی است.

منبع : www.bleepingcomputer.com