В сети Tor появился новый сайт REvil, привязанный редиректом к оригиналу

Татьяна Никитина 21 Апреля 2022 - 15:34

...

В сети Tor появился новый сайт REvil, привязанный редиректом к оригиналу

Серверы REvil в сети Tor вновь доступны и теперь перенаправляют запросы на новый сайт утечек. На его страницах представлен длинный список жертв шифровальщика — в основном результаты прошлых атак, но две записи совсем свежие.

Создатели сайта зарегистрировали новое onion-имя и активно продвигают его на русскоязычном хакерском форуме RuTOR. На новую площадку можно попасть через редирект с прежнего сайта утечек (Happy Blog).

По всей видимости, речь идет об альтернативном RaaS-сервисе (Ransomware-as-a-Service, вымогатель как услуга) на основе REvil, появившемся по воле оставшихся на свободе участников преступной группы или какого-то осиротевшего аффилиата. Об этом свидетельствует также предложение для партнеров, опубликованное на новом сайте утечек:

В настоящее время здесь доступен 26-страничный список жертв шифровальщика, среди которых эксперты BleepingComputer обнаружили пару новых имен, в том числе Oil India. Об атаке на индийскую нефтегазовую госкомпанию стало известно в начале текущего месяца.

По данным MalwareHunterTeam, новая партнерка на базе REvil работает как минимум с середины декабря. Ее площадки для публикации краденых данных и контроля платежей появились в начале текущего месяца и размещены на других серверах Tor.

Прежние onion-сайты шифровальщика с ноября контролируются ФБР. В прошлом году их тоже кто-то взломал, оставив свою страницу регистрации.

Группировка, стоявшая за REvil, получила широкую известность после прошлогодней атаки на Kaseya, из-за которой ей пришлось взять тайм-аут на два месяца. В сентябре RaaS-сервис возобновил работу, однако через месяц вновь закрылся — по причине взлома блога и платежного onion-сайта.

В октябре и ноябре в Западной Европе были произведены первые аресты в связи с атаками REvil. В январе в России с подачи американцев задержали 14 предполагаемых участников преступной группы, а в США сейчас судят украинца, подозреваемого в причастности к боевым операциям REvil.

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Яков Шпунт 24 Декабря 2025 - 20:30

Кибершпионаж Информационные войны Корпорации Государство

Бывшие сотрудники Samsung арестованы за промышленный шпионаж

Подразделение прокуратуры Центрального округа Сеула по расследованию преступлений в сфере информационных технологий предъявило обвинения десяти бывшим сотрудникам Samsung по делу о промышленном шпионаже в пользу Китая. По версии следствия, они передали китайской компании ChangXin Memory Technologies (CXMT) технологии производства оперативной памяти.

Как сообщает газета Chosun Daily, фигурантам дела вменяется нарушение южнокорейского закона о защите промышленных технологий.

Речь идет о передаче технологий производства DRAM по 10-нм техпроцессу. В результате CXMT смогла занять до 15% мирового рынка оперативной памяти, потеснив, в том числе, южнокорейских производителей.

По оценке следствия, совокупный ущерб для экономики Южной Кореи составил около 5 трлн вон (примерно 230 млн долларов). При этом, по подсчетам делового издания Asia Business Daily, реальный ущерб может быть значительно выше и измеряться десятками триллионов вон, то есть миллиардами долларов.

CXMT начала активно переманивать ключевых сотрудников Samsung и SK Hynix еще в 2016 году. На тот момент только эти две южнокорейские компании обладали технологиями производства DRAM по 10-нм техпроцессу. Однако уже к 2023 году CXMT удалось освоить этот техпроцесс, адаптировав его под собственные производственные мощности и требования заказчиков.

Фигуранты дела занимали высокие должности в Samsung. Среди них — топ-менеджер подразделения по выпуску модулей памяти, специалист, отвечавший за запуск 10-нм производства, а также руководитель исследовательского подразделения. Последний, по данным Chosun Daily, сыграл ключевую роль в передаче технологий: он вручную переписывал значительные объёмы документации, чтобы избежать подозрений при электронном копировании или фотографировании.

Следствие считает, что участники группы систематически передавали конфиденциальные данные, используя подставные компании и строгие меры конспирации. Всё взаимодействие между участниками велось с применением криптографии повышенной стойкости.

На SOC Forum 2025 также отмечалось, что промышленный шпионаж остаётся одной из ключевых целей атак и на российские компании: с начала 2025 года он фигурировал в 61% выявленных инцидентов.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »