¿Ha vuelto el grupo REvil, al menos en parte, a la escena del ransomware? La cuestión fue ampliamente debatida en la comunidad de inteligencia de amenazas en la tarde del 20 de abril.
28Soufiane Tahiri, ingeniero de seguridad de la información en Cdiscount, llevaba varios días preguntándose por un recién llegado que se atribuía la responsabilidad del ciberataque a la empresa petrolera india Oil India. El analista sospechó de un jugador “suplantador” que se divertía copiando a REvil. No estaba solo en sus preguntas. El MalwareHunterTeam también se preguntaba desde hace una semana sobre este atacante que “utiliza el ransomware de REvil”.
El escaparate del ciberdelincuente -o de la ciberpandilla- no muestra un nombre, a diferencia de los demás. Ofrece un canal RSS, pero el título que proporciona este último – “Corp Leaks”- sugiere más bien el desaparecido Nefilim. Casi vacío a principios de abril, el sitio de escaparate se ha llenado desde entonces de reclamos, algunos de los cuales parecen ser copiados y pegados del antiguo escaparate de REvil, señala MalwareHunterTeam.
Pero entonces se produjo una gran sorpresa: la dirección Tor del antiguo escaparate de REvil redirigía puntualmente a los visitantes al escaparate del recién llegado. El MalwareHunterTeam señala que esto también se aplica al dominio Tor utilizado anteriormente por REvil para las negociaciones. En el momento de escribir este artículo, la redirección está activa.
La creación de tal redirección sugiere que alguien con al menos un acceso parcial a la infraestructura de REvil está involucrado.
Info – Ciberseguridad Latam