В июле 2021 года инфраструктура вымогателя REvil (Sodinokibi) ушла в офлайн без объяснения причин. Речь шла о целой сети обычных и даркнет-сайтов, которые использовались для переговоров о выкупе, слива похищенных у жертв данных, а также внутренней инфраструктуре вымогателя.
Незадолго до этого, в начале июля текущего года операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya. Для атаки хакеры использовали 0-day уязвимости в продукте компании (VSA). Проблема заключалась в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
После этой атаки хакеры потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.
Кроме того, незадолго до атаки на клиентов Kaseya REvil попала на первые полосы многих изданий, так как атаковала компанию JBS, которая является крупнейшим в мире поставщиком говядины и птицы, а также вторым по величине производителем свинины. Компания работает в США, Австралии, Канаде, Великобритании и так далее, обслуживая клиентов из 190 стран мира.
Так как давно известно, что REvil – русскоязычная хак-группа, президент США Джо Байден в телефонном разговоре призвал президента России Владимира Путина пресечь атаки хакеров-вымогателей, действующих с территории РФ. Байден заявил, что если после этого Россия не примет меры, США будут вынуждены принять их сами.
После отключения всей инфраструктуры хак-группы многие эксперты полагали, что группировка распалась и теперь проведет ребрендинг, в попытке сбить с толку правоохранительные органы и ИБ-компании в США. При этом компания Kaseya каким-то образом получила универсальный ключ для дешифрования данных своих клиентов. Тогда некоторые предполагали, что российские правоохранители получили ключ дешифрования от злоумышленников и передали его ФБР в качестве жеста доброй воли.
Теперь, спустя почти два месяца после отключения, эксперты Recorded Future и Emsisoft заметили, что блог группировки и сайт, на котором операторы REvil обычно публиковали списки жертв, которые отказывались вести переговоры и платить выкуп, заработали снова.
Последнее обновление на сайте датировано 8 июля 2021 года, то есть никаких новых данных и сообщений опубликовано не было. В настоящее время неизвестно, означает ли это, что хак-группа возвращается к работе, были серверы снова включены по ошибке, или это как-то связано с действиями правоохранительных органов.