گروه باج افزاری REvil احتمالا برای باری دیگر و بعد از به سرقت رفتن درگاه پرداخت Tor و وبلاگ انتشار اطلاعات آنها توسط شخصی ناشناس، عملیات خود را متوقف کند. سایتهای Tor در ۱۷ اکتبر درست بعد از آنکه یکی از عاملان این گروه باج افزاری به انجمن هک XSS اعلام کرد که شخصی دامنه آنها را هایجک کرده است، آفلاین شدند.
موضوع از چه قرار است؟
به گفته محققان، اشخاصی با داشتن کلیدهای خصوصی مشابه با سایتهای Tor گروه REvil توانستهاند دامنه این گروه را هایجک کنند و به نظر میرسد که از سایتها نسخه پشتیبان نیز تهیه کردهاند. بر اساس اعلام عضوی از گروه REvil، با وجود اینکه تاکنون هیچ نشانهای از آسیب به سرورهای آنها دیده نشده، اما آنها عملیات خود را متوقف کردهاند. همچنین،گروه REvil در اطلاعیه منتشر شده در فروم XSS به همکاران خود اعلام کردند که در خصوص ابزارهای رمزگشایی کمپین از طریق Tox با آنها تماس بگیرند، تا بدون بروز مشکل به اخاذی از قربانیان خود ادامه دهند و در صورت دریافت باج، ابزار رمزگشای مورد نیاز را به قربانیان ارسال کنند.
برای راه اندازی سرویس مخفی Tor (دامنه onion.)، بایستی یک جفت کلید خصوصی و عمومی ایجاد و برای راه اندازی اولیه سرویس استفاده شود. کلید خصوصی باید ایمن باشد و فقط برای افراد مورد اعتماد قابل دسترس باشد، زیرا هرکسی که به این کلید دسترسی داشته باشد میتواند از آن برای راه اندازی همان سرویس onion. در سرور خود استفاده کند. اما به نظر میرسد که این شخص سوم نیز کلید خصوصی را در دست داشته و با آن توانسته به سایت گروه REvil دسترسی پیدا کند و آن را به سرقت ببرد.
چه کسی پشت پرده این سرقت است؟
از آنجایی که Bitdefender و مجریان قانون به کلید اصلی رمزگشایی REvil دسترسی پیدا کردند و ابزار رمزگشایی رایگان را منتشر کردهاند، برخی معتقدند که FBI یا سایر مجریان قانون از زمان راه اندازی مجدد به سرورها دسترسی دارند. در ادامه، عاملان REvil اعلام کردند که سرور آنها نیز به طور کامل از دسترس خارج شده است و اینکه آنها به عملیات خود پایان میدهند.
پیش از این نیز REvil پس از توقفی چند ماهه، عملیات و وب سایتهای خود را در ماه سپتامبر راه اندازی کرده بود. با توجه به اتفاقات اخیر و به سرقت رفتن سرور و سایتهای این گروه، احتمالا عملیات آنها متوقف شود اما باید انتظار داشت که در قالب گروهی دیگر و با باجافزاری جدیدتر بازگردند.
