Серверы REvil опять начали работать, выяснили исследователи безопасности
Несколько дней назад два исследователя по кибербезопасности нашли на форуме RuTOR рекламу сайта группировки REvil. Сайт новый, домен новый, но после перехода он отправляет на старый сайт хакеров.
Другой исследователь безопасности заявил, что после ареста в январе 2022 года 14 предполагаемых участников хакерской группировки в декабре 2021 года была зафиксирована активность новой группировки, связанной с REvil. Как именно связаны две группы хакеров, он не уточнил. Также он заметил, что с 5 по 10 апреля этого года сайт, связанный с REvil, начал функционировать, но он был пустой. Но где-то через неделю исследователь в одном из источников обнаружил строчку, отсылающую к другой, уже не функционирующей группировке Nefilim. Далее расследование показало — блог и сайт для оплаты выкупов развернуты на разных серверах. Исследуя блог уже специалисты портала BleepingComputer нашли cookie-файл с именем, которое является компьютерным термином в качестве файлового маркера еще одной группой хакеров TeslaCrypt.
Причем в списке жертв-компаний на сайте обнаруженной декабрьской группировки числятся как жертвы REvil, так и две новые. Что это за группировка и кто еще был подвержен ее атакам, исследователям кибербезопасности предстоит узнать.
