Investigadores de seguridad han detectado que la dirección del sitio de fuga utilizado por la ciberpandilla Revil vuelve a estar operativa. Redirige a un sitio alojado una vez que no está personalizado en la web oscura.
¿Haría Revil el hit interminable del día? Primero desapareció a mediados del verano pasado antes de regresar unas semanas después, la pandilla Revil fue eliminada por una coalición internacional. Antes de sufrir unas semanas después una redada sobre sus miembros el pasado mes de noviembre. Un golpe, pero no fatal, ya que el grupo nunca ha dejado de hablar regularmente sobre él. A principios de 2022, el deseo de Rusia de poner fin definitivamente a las actividades del grupo parecía haber sellado definitivamente el destino de Revil. Pero aparentemente el ave fénix todavía ha podido resurgir de sus cenizas…
Hace unos días, los investigadores de seguridad pancak3 y Soufiane Tahiri notaron que un nuevo sitio de fugas de REvil, Happy Blog, se había presentado en RuTOR, un foro de mercado orientado regionalmente. hablantes de ruso. Este sitio, aunque alojado en un dominio diferente, enlaza con el que REvil estaba usando cuando estaba activo. Además, se ha demostrado una redirección efectiva capturado por investigadores de seguridad. Este sitio contiene detalles de los términos de afiliación de los operadores maliciosos para obtener una versión mejorada de Revil y la distribución de pago (80/20) de los montos de rescate pagados o extorsionados. Dato interesante ya que este enlace contiene información relativa tanto a antiguos ataques de la ciberpandilla como a uno mucho más reciente dirigido a Oil India, además confirmado por la petrolera. A este último se le había pedido nada menos que 196 bitcoins, o casi 8 millones de dólares en rescate.
Una resurrección desde principios de abril de 2022
«Si bien es demasiado pronto para decir de dónde vino esto o cuáles son las consecuencias, ha habido cierta inquietud con respecto al sitio web Happy Blog de la pandilla cibernética del ransomware Revil», dijo John Hammond, investigador principal de seguridad. de Huntress Labs, una empresa especializada en la detección y respuesta gestionadas de incidentes. «Históricamente, este era el sitio de filtración de una pandilla de ransomware, donde publicaban los datos de sus víctimas que se negaban a pagar el rescate, pero por un tiempo el sitio estuvo fuera de línea y Revil parecía haber desaparecido de Internet. La página ‘Únete a nosotros’ sugiere que el nuevo trabajo se puede hacer con ‘el mismo software probado (pero mejorado)’, lo que indica que podría ser un resurgimiento de Revil’.
La actividad de este sitio se ha registrado desde el 5 de abril de 2022 y el contenido se agregó gradualmente en los días siguientes. Según MalwareHunter Team, su fuente RSS incorpora una etiqueta de enlace corpleaks.com, utilizada por la pandilla cibernética cerrada Nefilim. Esta presencia es aún más intrigante ya que el origen de esta resurrección del sitio de fugas de Revil también revela la existencia esta vez de una cookie llamada DEADBEEF utilizada por otro grupo de ciberdelincuentes, TesmaCrypt. Y para empeorar las cosas: «Mientras estaba bajo el control del FBI en noviembre de 2021, los sitios de pago y fuga de datos de REvil mostraron una página titulada «REvil es malo» y un formulario de inicio de sesión, inicialmente a través de puertas de enlace TOR y ubicación .Onion. El misterio de las redirecciones, tanto recientes como del año pasado, se profundizan, ya que sugieren que alguien que no sea la policía tiene acceso a las claves privadas TOR que les permitieron realizar cambios en el sitio .Onion”, dice Bleeping Computer.
Una identidad que plantea interrogantes
En ciberseguridad, la atribución de los ciberataques no es fácil. Pero tampoco lo es el relacionado con la identificación de ciberpandillas resucitadas… «En un popular foro de hackers de habla rusa, los usuarios especulan entre una operación que es una estafa, un honeypot o una continuación legítima de la antigua estructura de Revil que perdió su reputación y tiene un largo camino por recorrer para recuperarlo. Hay varios operadores de ransomware que usan cifrados Revil parcheados o se hacen pasar por el grupo original. Estos incluyen LV, que usó el cifrado de Revil antes de que las fuerzas del orden los cerraran, y Ransom Cartel, que parece estar conectado a Revil pero el vínculo no está claro.
