Tor ネットワーク上の REvil サーバーはオンラインに戻り、リクエストを新しいリーク サイトにリダイレクトしています。. そのページにはランサムウェア被害者の長いリストが含まれています, 主に過去の攻撃の結果, ただし、2 つのエントリはごく最近のものです.
サイトの作成者は新しいタマネギの名前を登録し、ロシア語のハッカー フォーラム RuTOR で積極的に宣伝しています。. 以前の漏洩サイトからリダイレクトを通じて新しいサイトにアクセスできます (ハッピーブログ).
どうやら, 私たちは代替の RaaS サービスについて話しています (サービスとしてのランサムウェア, サービスとしての恐喝者) REvilに基づく, 逃亡中の犯罪グループのメンバーまたは孤児の関係者の命令で現れた者. これは、新しいリーク サイトで公開されたパートナー向けのオファーによっても証明されています。:
ランサムウェア被害者の 26 ページのリストは、現在ここで入手できます。, その中で、BleepingComputer の専門家がいくつかの新しい名前を発見しました, 石油インドを含む. インドの石油・ガス国営企業への攻撃は今月初めに判明した.
MalwareHunterTeam によると, の 新しい REvil ベースのアフィリエイト プログラムは少なくとも 12 月中旬から実行されています. 盗まれたデータを公開し、支払いを管理するためのプラットフォームは今月初めに登場し、他の Tor サーバーでホストされています.
ランサムウェアの元オニオン サイトは 11 月から FBI によって管理されている. 去年, 誰かがそれらもハッキングした, 登録ページを離れる.
REvilの背後にいるグループは、昨年のKaseyaへの攻撃で悪名を高めた, そのため彼らは2か月のタイムアウトを余儀なくされた. 9月中, RaaSサービスが運用を再開しました, しかし、1か月後、ブログとタマネギ支払いサイトのハッキングにより再び閉鎖されました.
10月と11月に, REvil攻撃に関連して最初の逮捕は西ヨーロッパで行われた. 1月に, 14 犯罪グループのメンバーとされる人々がアメリカ人の提案によりロシアで拘束された, REvilの軍事作戦に関与した疑いのあるウクライナ人は現在米国で裁判中である.