Сайты REvil мистическим образом снова заработали
Принадлежащие кибервымогательской группировке REvil серверы в сети Tor возобновили работу после нескольких месяцев простоя и теперь переадресовывают посетителей на новую кибервымогательскую операцию, начавшуюся в середине декабря прошлого года, пишет SecurityLab.
Кто стоит за новой операцией, неизвестно, однако в списке жертв на новом сайте утечек числятся прошлые жертвы REvil.
Несколько дней назад исследователи безопасности pancak3 и Суфиан Тахири (Soufiane Tahiri) обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.
В январе 2022 года, вскоре после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что в середине декабря 2021 года была зафиксирована активность новой группировки, связанной с REvil, но что это за связи, он не уточнил. В период с 5 по 10 апреля он заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.
MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.
Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.
Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя. Исследователям еще предстоит проанализировать связанную с REvil полезную нагрузку, а сама группировка пока не сообщает ничего, что могло бы пролить свет на ее происхождение.
Кто стоит за новой операцией, неизвестно, однако в списке жертв на новом сайте утечек числятся прошлые жертвы REvil.
Несколько дней назад исследователи безопасности pancak3 и Суфиан Тахири (Soufiane Tahiri) обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.
В январе 2022 года, вскоре после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что в середине декабря 2021 года была зафиксирована активность новой группировки, связанной с REvil, но что это за связи, он не уточнил. В период с 5 по 10 апреля он заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.
MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.
Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.
Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя. Исследователям еще предстоит проанализировать связанную с REvil полезную нагрузку, а сама группировка пока не сообщает ничего, что могло бы пролить свет на ее происхождение.
похожие материалы
Роскомнадзор отчитался о снижение числа утечек в 2025 году
Количество зафиксированных случаев компрометации баз персональных данных в России снизилось в 2025 году до 118 случаев, в сеть попали более 52 млн записей, пишет ТАСС.
ИИ для обнаружения кражи учётных данных: «Лаборатория Касперского» выпустила SIEM-систему KUMA 4.2
«Лаборатория Касперского» представила обновлённую SIEM-систему Kaspersky Unified Monitoring and Analysis Platform для мониторинга и управления событиями безопасности.
«Платформа Боцман» признана лучшей российской Kubernetes-платформой для ИИ и машинного обучения
Компания «Платформа Боцман» сообщает о первом месте в отраслевом рейтинге российских Kubernetes-платформ для задач искусственного интеллекта и машинного обучения, составленном аналитиками ИТ-портала CNewsMarket.
Как изменилась платформа Security Vision за 2025 год: главное
Компания Security Vision подвела итоги развития платформы Security Vision 5 за 2025 год.
Мессенджеры на Bluetooth набирают популярность на фоне отключений интернета
В разных странах на фоне масштабных отключений интернета растет интерес к мессенджерам, способным работать без доступа к сети.
TP-Link предупредил о серьёзной уязвимости обхода аутентификации в IP-камерах VIGI
Компания TP‑Link выпустила предупреждение о критической уязвимости в локальном веб-интерфейсе функции восстановления пароля в ряде своих камер видеонаблюдения VIGI.
Треть россиян, которые используют гаджеты для мониторинга здоровья, хранят данные с них в секрете
Спектр возможностей для заботы о здоровье постоянно расширяется, и «Лаборатория Касперского» решила выяснить, какие умные устройства и приложения для мониторинга показателей организма используют россияне.
Хакеры начали атаковать банковские ИИ-системы и модели машинного обучения
Злоумышленники переключили внимание на уязвимости в искусственном интеллекте и системах машинного обучения, используемых в банковском секторе, предупреждают эксперты.
Цифровые двойники энергосистем в России начнут создавать через однонаправленную передачу данных
В России протестировали архитектуру безопасного создания цифровых двойников объектов электроэнергетики без риска удаленного вмешательства в закрытые контуры управления.
Мошенники начали похищать данные «Госуслуг» через Telegram-ботов под видом маркетплейсов
Хакеры стали красть логины и пароли от портала «Госуслуги», используя Telegram-ботов с фейковыми реферальными программами популярных маркетплейсов.