Gruppo ransomware REvil KO: utente ignoto compromette siti Tor usati per leak e riscatti

Gruppo ransomware REvil KO: utente ignoto compromette siti Tor usati per leak e riscatti
di

Lo scorso luglio il gruppo ransomware REvil sparì da Internet, o almeno i siti ufficiali degli hacker risultavano bloccati e irraggiungibili. Questo evento fece tirare un sospiro di sollievo a tantissimi utenti, ma poi si parlò di un loro possibile ritorno. Ebbene, ciò sembra distante, dato che un utente ignoto ha compromesso i portali REvil.

Come ripreso da Bleeping Computer, una persona sconosciuta avrebbe ottenuto il pieno controllo dei siti Tor ufficiali del gruppo REvil, mandandoli offline. Il presunto autore dell’offensiva è così riuscito a osservare nel dettaglio le attività svolte nel corso degli ultimi anni, dai pagamenti ricevuti al blog dove venivano diffusi i dati delle vittime che non pagavano il riscatto.

Il thread scoperto da Dmitry Smiyanets di Recorded Future vede il presunto autore della prima “pacifica” offensiva, chiamatosi 0_neday, riferirsi poi a tutti coloro che avevano chiesto al gruppo REvil di attivarsi per conto loro. Del resto, per chi non lo sapesse, REvil o Sodinokibi è un “Ransomware-as-a-Service” o RaaS, ovvero un tipo di operazione che vede persone affiliate chiedere supporto ai gestori del malware in questione in cambio della suddivisione del riscatto.

L’utente ha affermato di non avere trovato segni di compromissione dei server, ma che interromperà comunque l’intera operazione. Gli affiliati che sono stati “abbandonati a sé stessi” con la scomparsa dei gestori del servizio potranno dunque contattare 0_neday per ottenere le chiavi di decrittazione, così da consegnarle alle vittime in caso di avvenuto pagamento o continuare a ricattarle.

Questa comunicazione iniziale, però, è stata seguita nei giorni successivi da un presunto secondo attacco: 0_neday ha infatti pubblicato un nuovo post sul forum di hacking d’interesse affermando che il server è stato definitivamente compromesso da una terza parte ignota. Insomma, la “saga” di REvil sembra destinata a non avere ancora una fine ben chiara. Tuttavia, per la gioia delle vittime in rete è già disponibile un decryptor universale fornito da Bitdefender.

Quanto è interessante?
1