Издание Bleeping Computer сообщает, что сайты и вся инфраструктура вымогателя REvil (Sodinokibi) в целом ушла в оффлайн без объяснения причин. Речь идет о целой сети обычных и даркнет-сайтов, которые используются для переговоров о выкупе, слива похищенных у жертв данных и внутренней инфраструктуры вымогателя. Теперь все они по какой-то причине не работают.

Журналисты и ИБ-эксперты пишут, что временное «падение» одного-двух ресурсов – это нормально, но полное отключение всей инфраструктуры выглядит крайне странно. К примеру, сайт decoder[.]re более вообще не резолвится помощью DNS-запросов, а это указывает на отключение всей DNS-инфраструктуры на бэкэнде или отсутствие DNS-записей домена.

Напомню, что в начале июля операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya. Для атаки хакеры использовали 0-day уязвимости в продукте компании (VSA).

Проблема в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.

После этой атаки хакеры потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.

В прошлом месяце REvil тоже попала на первый полосы многих изданий, так как атаковала компанию JBS, которая является крупнейшим в мире поставщиком говядины и птицы, а также вторым по величине производителем свинины. Компания работает в США, Австралии, Канаде, Великобритании и так далее, обслуживая клиентов из 190 стран мира.

Так как давно известно, что REvil – русскоязычная хак-группа, на днях президент США Джо Байден в телефонном разговоре призвал президента России Владимира Путина пресечь атаки хакеров-вымогателей, действующих с территории РФ. Байден заявил, что если после этого Россия не примет меры, США будут вынуждены принять их сами.

«Я предельно ясно объяснил ему [Путину], что когда операция программы-вымогателя исходит с его территории, Соединенные Штаты ожидают, что даже если она не организована государством, они будут действовать, если мы предоставим им достаточно информации о том, кто к этому причастен», — сообщил Байден журналистам после телефонного разговора.

Также стоит отметить, что совсем недавно в похожих обстоятельствах свою деятельность экстренно прекратили операторы вымогателей DarkSide и Babuk. Первая группировка «закрылась» после масштабной атаки на американского оператора трубопровода Colonial Pipeline, так как привлекла к себе слишком много внимания (в том числе, со стороны правоохранительных органов). Вторая группа объявила о прекращении работы после громкой атаки на полицейское управление Вашингтона.

UPD. 

Представитель хак-группы, стоящей за вымогателем LockBit, сообщил на известном хакерском форуме XSS, что, по слухам, операторы REvil стерли свои серверы, узнав о некоем "запросе органов".

Вскоре после публикации этого сообщения администрация XSS забанила на форуме пользователя Unknown, публичного представителя группы REvil. Как правило, администрация хак-форумов блокирует пользователей в том случае, если есть подозрения, что аккаунт находится под контролем полиции. 

 

2 комментария

  1. Аватар

    B4lTaZAR-QiTh1.0

    14.07.2021 в 16:04

    Хэх. Тот случай когда застал появление UPD:)) Ииии… Да НУ?! Россия смогла вот так просто скрутить хакеров??
    Этот как в фильме для шпионов, вот только если об их задержании ничего не скажут, то искать их можно только в одном месте.. и «дно» это отнюдь не фигуральное. 😐 На самом деле угрозы Байдена сами по себе странные… а что мешает кому-то поставить прокси через них и атаковать например Иран? И они что, тоже будут мифических хакеров на своей территории искать по таким же угрозам от президента Ирана? 😅 Лол. Как бы то ни было, все же удивительно узнать, что русские «трёхбуквенные» ведомства способны вот так просто кого-то нейтрализовать. Видимо связь с Белым домом Кремлю важна.)

  2. Аватар

    Lmar

    18.07.2021 в 18:36

    Думаю кто из крупных из РФ работает уже давно завербованы

Оставить мнение