• XSS.stack #1 – первый литературный журнал от юзеров форума

REvil ransomware's servers mysteriously come back online

Отслеживать
bytebanshee

bytebanshee

CD-диск
Пользователь
Регистрация
25.05.2021
Сообщения
15
Реакции
2
The dark web servers for the REvil ransomware operation have suddenly turned back on after an almost two-month absence. It is unclear if this marks their ransomware gang's return or the servers being turned on by law enforcement.

On July 2nd, the REvil ransomware gang, aka Sodinokibi, used a zero-day vulnerability in the Kaseya VSA remote management software to encrypt approximately 60 managed service providers (MSPs) and over 1,500 of their business customers.

REvil then demanded $ 5 million from MSPs for a decryptor or $ 44,999 for each encrypted extension at the individual businesses.

The gang also demanded $ 70 million for a master decryption key to decrypt all Kaseya victims but soon dropped the price to $ 50 million.

After the attack, the ransomware gang faced increasing pressure from law enforcement and the White House, who warned that the USA would take action themselves if Russia did not act upon threat actors in their borders.

Soon after, the REvil ransomware gang disappeared , and all of their Tor servers and infrastructure were shut down.

To this day, it is not clear what happened, but it left ransomware victims who wished to negotiate unable to do so and without the ability to restore files.

Mysteriously, Kaseya later received the master decryption key for the attack victims and stated it was from a trusted third party. It is believed that Russian intelligence received the decryption key from the threat actors and passed it along to the FBI as a gesture of goodwill.

REvil infrastructure suddenly turns back on​

Today, both the Tor payment / negotiation site and REvil's Tor 'Happy Blog' data leak site suddenly came back online.

The most current victim on the REvil data leak site was added on July 8th, 2021, just five days before REvil's mysterious disappearance.

Unlike the data leak site, which is functional, the Tor negotiation site does not appear to be fully operational yet. While it shows the login screen, as seen below, it does not allow victims to log into the site.

The gang's http://decoder.re/ is still offline at this time.

It is unclear at this time whether the ransomware gang is back in operation, the servers have been turned back on by mistake, or it is due to the actions of law enforcement.


bleepingcomputer[.]com/news/security/revil-ransomwares-servers-mysteriously-come-back-online/
 
Скандалы интриги расследования ?
 
haha
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну наконец-то мы узнаем ответы на вопросы, почему они ушли по английски и каким образом касея получила декриптор.
 
Если бы Касея получила ключ от ФБР, ФБр об этом бы верещала, как о победе над русской киберпреступной групировкой, а Касея не придумывала бы каких-то "доверенных третьих лиц". Бабки занесли, очевидно
 
Пожалуйста, обратите внимание, что пользователь заблокирован
LockBitSupp сказал(а):
почему они ушли по английски и каким образом касея получила декриптор.
Ответ будет вида: "э..ну..так получилось, короче мы все уехали на море в отпуск, и сервер сам выключился! а ключ...ээ..там цру анб сбрутило доступ к айфону адверта..в общем не важно, не рефлексируйте и работайте с нами дальше. Ведь только у нас есть доступ к баллистическим ракетам, военным кораблям и даже межгалактическому крейсеру. Средний адверт зарабатывает сто лямов в месяц, а наш софт на голову превосходит все аналоги (хоть и не криптует иногда шары)".
жаль что клоуна-анкноуна забанили, почитали бы его фантазии)))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
kamzzzzz сказал(а):
Если бы Касея получила ключ от ФБР, ФБр об этом бы верещала, как о победе над русской киберпреступной групировкой, а Касея не придумывала бы каких-то "доверенных третьих лиц". Бабки занесли, очевидно
Зачем ФБР освещать свои методы работы, например зеродеи или какое то тайное взаимодействие с РФ? Их задача устранить киберпреступника и разлочить жертв, а понты им не нужны. Если занесли бабки то кому? Ждём информации от нового руководства ревилов.
 
LockBitSupp сказал(а):
Зачем ФБР освещать свои методы работы, например зеродеи или какое то тайное взаимодействие с РФ? Их задача устранить киберпреступника и разлочить жертв, а понты им не нужны. Если занесли бабки то кому? Ждём информации от нового руководства ревилов.
Я говорю не о том что они вскрыли бы свои методы работы, а о том, что они показали бы на весь мир что могут, умеют, практикуют. Если уж их президент постоянно клянчит у России помощи по киберпреступлениям, то очевидна любая маленькая победа их органов должна быть хорошо освещена, но что-то я не видел ничего подобного
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ревил(ы) отписались кст, если кто не видел:
Как UNKWN (он же 8800) пропал, мы (кодеры) бэкапнулись и отключили все сервера. Думали, что его приняли. Пробовали искать, но безуспешно. Подождали - он не объявился и мы подняли всё с бэкапов.
После пропажи UNKWN хостер писал что клирнет-сервера были скомпрометированы и он удалил их сразу. Основной сервер с ключами мы отключили штатно незадолго после.
По поводу ключа Касеи, якобы слитого правоохранительными органами, то он "утек" из-за ошибки сотрудника во время генерации декриптора.
 
По поводу ключа Касеи, якобы слитого правоохранительными органами, то он "утек" из-за ошибки сотрудника во время генерации декриптора.
попахивает пиздежом
 
Да все нормально, серваки включились по крону, сейчас тимлиду придет алерт от заббикса, ребята опомнятся и потушат серваки.
Как будто с Вами такого не бывало))
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх