القائمة الرئيسية

الصفحات

إغلاق مواقع مجموعة REvil Ransomware في ظروف غامضة

كل المواقع والبنية التحتية اللي بيستخدمها جروب Revil اتقفلت او غير متاحة محدش لسه عارف حاجة بس في حد علي xss forum قال ان الجروب فلسع اول ماسمع ان احتمال يبقي في استدعاء محكمة تم إغلاق مواقع الويب الخاصة بعصابة REvil Ransomware في ظروف غامضة، اختفت البنية التحتية والمواقع الإلكترونية لفرقة REvil Ransomware بشكل غامض بلا اتصال اعتبارًا من الليلة الماضية.

 عملية REvil ransomware ، المعروفة أيضًا باسم Sodinokibi ، تعمل من خلال العديد من مواقع الويب الواضحة والمواقع المظلمة المستخدمة كمواقع للتفاوض للحصول على فدية وذلك بسبب برمجيات فيرس الفدية "رانسوم وير"، ومواقع تسرب بيانات برامج الفدية ، والبنية التحتية الخلفية. بدءًا من الليلة الماضية ، تم إغلاق المواقع الإلكترونية والبنية التحتية المستخدمة في عملية REvil Ransomware بشكل غامض.

 

إغلاق مواقع مجموعة REvil Ransomware في ظروف غامضة

 

 والكلام ده تم بعد الانترفيو اللي تم مع REvil واحد من أشهر فرق الهاكينج المتخصصه في موضوع فيروسات الفدية، دون سابق إنذار اختفت مجموعة الفدية REvil التي شغلت الرأي العام بهجماتها المتتالية على مئات الشركات المختلفة ، والتي تقف وراء بعض أكبر الهجمات الإلكترونية التي إستهدفت أكبر منتج للحوم في العالم JBS ومؤخرًا شركة البرمجيات Kaseya التي أدى الهجوم عليها لتشفير وتوقف شبكات أكثر من 1500 شركة حول العالم في واحدة من أكبر الهجمات الإلكترونية.


يوم أمس توقفت جميع مواقع REvil على الدارك ويب التي تتضمن مدونة Happy blog و 22 موقعًا لاستضافة البيانات ، مما أدى إلى تكهنات بأن المجموعة ربما تم القضاء عليها أو توقفت عن العمل للاختفاء والتقاعد خصوصًا أنها حققت إيرادات بملايين الدولارات.


مجموعة REvil هي واحدة من أكثر مجموعات برامج الفدية شهرة ، وظهرت لأول مرة في مشهد التهديدات في أبريل 2019 ، وخلال العام الحالي كانت المجموعة مسؤولة عن أكثر من 360 هجمة على شركات ومؤسسات في الولايات المتحدة وحدها.


إذا كانت مجموعة REvil قد أوقفت عملياتها بشكل دائم ، فإن هذه الخطوة لا بد أن تجعل ضحايا المجموعة في مأزق ، مع عدم وجود وسائل أخرى للتواصل والتفاوض بشأن دفع الفدية والحصول على مفاتيح فك التشفير اللازمة لاستعادة السيطرة على أنظمتها ، وبالتالي منعهم بشكل دائم من الوصول إلى بياناتهم.

قد يفيدك:

 

لم يعد موقع REvil Tor متاحًا

 قال آل سميث من مشروع Tor لـ BleepingComputer: "بعبارات بسيطة ، يعني هذا الخطأ عمومًا أن موقع onion غير متصل أو معطل. لتعرف بالتأكيد ، ستحتاج إلى الاتصال بمسؤول موقع Onion". في حين أنه ليس من غير المعروف أن تفقد مواقع REvil الاتصال لبعض الوقت ، فإن إغلاق جميع المواقع في وقت واحد أمر غير معتاد. علاوة على ذلك ، لم يعد موقع الويب الواضح الخاص بوحدة فك التشفير [.] قابلاً للحل من خلال استعلامات DNS ، مما قد يشير إلى أن سجلات DNS للمجال قد تم سحبها أو أن البنية التحتية لنظام DNS الخلفية قد تم إغلاقها.

 

لم يعد المجال REvil يحل إلى استفسارات DNS 

قال Alan Liska من Recorded Future أن مواقع الويب REvil توقفت عن العمل في حوالي الساعة 1 صباحًا بتوقيت شرق الولايات المتحدة هذا الصباح. بعد ظهر هذا اليوم ، أرسل ممثل LockBit ransomware إلى منتدى XSS الناطق باللغة الروسية أنه يشاع أن عصابة REvil قامت بمسح خوادمهم بعد علمهم بأمر استدعاء من الحكومة. "بناءً على معلومات غير مؤكدة ، تلقت البنية التحتية لخادم REvil طلبًا قانونيًا حكوميًا يجبر REvil على محو البنية التحتية للخادم تمامًا والاختفاء. 

ومع ذلك ، لم يتم تأكيد ذلك" ، هذا ما ورد في المنشور باللغة الروسية المترجمة إلى الإنجليزية لـ BleepingComputer بواسطة Vitali Kremez المتقدمة من Intel . مشاركة منتدى LockBit حول REvil مشاركة منتدى LockBit حول REvil بعد فترة وجيزة ، قام مسؤول XSS بحظر REvil's Unknown ، الممثل الذي يواجه الجمهور لعصابة برامج الفدية ، من المنتدى. وأوضح كريمز: "كقاعدة عامة ، تحظر إدارة المنتديات العليا مستخدميها عندما يشتبه في أنهم تحت سيطرة الشرطة". 

 

 تم منع REvil's "Unknown" من اختراق منتدى 

إذا كانت لديك معلومات مباشرة حول إيقاف التشغيل ، فيمكنك الاتصال بنا بشكل سري على Signal على +16469613731 أو على Wire على @ lawrenceabrams-bc. الشعور بالحرارة في الثاني من يوليو ، قامت مجموعة REvil Ransomware بتشفير ما يقرب من 60 مزود خدمة مُدارة (MSPs) وأكثر من 1500 شركة فردية باستخدام ثغرة يوم الصفر في برنامج Kaseya VSA للإدارة عن بُعد. كجزء من هذه الهجمات ، طلبت REvil في البداية 70 مليون دولار لفك تشفير عالمي لجميع الضحايا ، لكنها سرعان ما خفضت السعر إلى 50 مليون دولار .

 منذ ذلك الحين ، كانت مجموعة برامج الفدية تحت المراقبة المتزايدة من قبل سلطات إنفاذ القانون ، والتي لا يبدو أنها تثير الدهشة "غير معروف" ، نظرًا لأن عصابات برامج الفدية هذه تعمل عادةً خارج روسيا ، فقد أجرى الرئيس بايدن محادثات مع الرئيس بوتين حول الهجمات وحذر من أنه إذا لم تتصرف روسيا مع الجهات الفاعلة في التهديد على حدودها ، فإن الولايات المتحدة ستتخذ الإجراءات بنفسها.

 

 "لقد أوضحت له تمامًا أن الولايات المتحدة تتوقع حدوث عملية فدية من أراضيه على الرغم من أنها لا ترعاها الدولة ، نتوقع منهم أن يتصرفوا إذا قدمنا ​​لهم معلومات كافية للعمل على من يكون ،" وقال بايدن بعد التوقيع على أمر تنفيذي في البيت الأبيض. في هذه المرحلة ، ليس من الواضح ما إذا كان إغلاق REvil للخوادم لأسباب فنية ، أو ما إذا كانت العصابة قد أوقفت عملياتها ، أو إذا حدثت عملية إنفاذ قانون روسية أو أمريكية. تم إغلاق مجموعات برامج الفدية الأخرى ، مثل DarkSide و Babuk ، طواعية بسبب الضغط المتزايد من قبل تطبيق القانون. ومع ذلك ، عند إغلاق مجموعات برامج الفدية ، يقوم المشغلون والشركات التابعة عادةً بإعادة وضع العلامة التجارية كعملية جديدة لمواصلة تنفيذ هجمات برامج الفدية.

 شوهد هذا في الماضي عندما أغلق GandCrab وأعيد إطلاق العديد من أعضائه باسم REvil . تم إعادة إطلاق بابوك أيضًا باسم Babuk v2.0 بعد انشقاق المجموعة الأصلية بسبب الاختلافات في كيفية تنفيذ الهجمات.

 رفض مكتب التحقيقات الفيدرالي التعليق على إغلاق خوادم REvil. هذه قصة متطورة.

 الولايات المتحدة ككل تمارس الضغط على روسيا لوقف هذه الهجمات ، لا علاقة لها بالسياسة. لقد تحول من مضايقة الأشخاص بسبب صورهم إلى تدمير البنية التحتية الحيوية ، والذي إذا تم تنفيذه من قبل كيان الدولة فسيكون عملاً حربياً. 

 
لا يمكن السماح باستمراره وسيؤدي إلى حرب فعلية إذا سمح بالتصعيدتتشابك السياسة مع كل شيء يتم القيام به على هذا الكوكب في كيفية ومتى وأين تتم إدارة الأعمال التجارية ، وكيفية تقديم الكيانات العامة للخدمات ، وتوفير وشراء السلع والخدمات من أجل بقاء الإنسان. في اللحظة التي نطق فيها زعيم أحد أكبر الاقتصادات على هذا الكوكب بكلمات "الأمن السيبراني" و "برامج الفدية" و "الأمر التنفيذي" ، أصبحت كل مناقشة فردية حول برامج الفدية سياسية بطبيعتها. إن تجاهل هذا الواقع يعني تجنب المحادثات غير المريحة ولكن لا يغير الحقيقة الأساسية المتمثلة في أن كل شيء له نغمات سياسية ويتم تحريكه بواسطة موجات النشاط والقوة تلك

قد يهمك: 

المصدر: bleepingcomputer & Hacker News

تعليقات