توقف عملیات گروه باج افزاری REvil

گروه باج افزاری REvil احتمالا برای باری دیگر و بعد از به سرقت رفتن درگاه پرداخت Tor و وبلاگ انتشار اطلاعات آنها توسط شخصی ناشناس، عملیات خود را متوقف کند. ‫سایت‌های Tor در ۱۷ اکتبر درست بعد از آنکه یکی از عاملان این گروه باج افزاری به انجمن هک XSS اعلام کرد که شخصی دامنه آنها را هایجک کرده است، آفلاین شدند.

موضوع از چه قرار است؟

به گفته محققان، اشخاصی با داشتن کلید‌های خصوصی مشابه با سایت‌های Tor گروه REvil توانسته‌اند دامنه این گروه را هایجک کنند و به نظر می‌رسد که از سایت‌ها نسخه پشتیبان‌ نیز تهیه کرده‌اند. بر اساس اعلام عضوی از گروه REvil، با وجود اینکه تاکنون هیچ نشانه‌ای از آسیب به سرور‌های آنها دیده نشده، اما آنها عملیات خود را متوقف کرده‌‌اند. همچنین،گروه REvil در اطلاعیه منتشر شده در فروم‌ XSS به همکاران خود اعلام کردند که در خصوص ابزارهای رمزگشایی کمپین از طریق Tox با آنها تماس بگیرند، تا بدون بروز مشکل به اخاذی از قربانیان خود ادامه دهند و در صورت دریافت باج، ابزار رمزگشای مورد نیاز را به قربانیان ارسال کنند.

برای راه اندازی سرویس مخفی Tor (دامنه onion.)، بایستی یک جفت کلید خصوصی و عمومی ایجاد و برای راه اندازی اولیه سرویس استفاده شود. کلید خصوصی باید ایمن باشد و فقط برای افراد مورد اعتماد قابل دسترس باشد، زیرا هرکسی که به این کلید دسترسی داشته باشد می‌تواند از آن برای راه اندازی همان سرویس onion. در سرور خود استفاده کند. اما به نظر می‌رسد که این شخص سوم نیز کلید خصوصی را در دست داشته و با آن توانسته به سایت گروه REvil دسترسی پیدا کند و آن را به سرقت ببرد.

چه کسی پشت پرده این سرقت است؟

از آنجایی که Bitdefender و مجریان قانون به کلید اصلی رمزگشایی REvil دسترسی پیدا کردند و ابزار رمزگشایی رایگان را منتشر کرده‌اند، برخی معتقدند که FBI یا سایر مجریان قانون از زمان راه اندازی مجدد به سرورها دسترسی دارند. در ادامه، عاملان REvil اعلام کردند که سرور آنها نیز به طور کامل از دسترس خارج شده است و اینکه آنها به عملیات خود پایان می‌دهند. 

پیش از این نیز REvil پس از توقفی چند ماهه، عملیات و وب سایت‌های خود را در ماه سپتامبر راه اندازی کرده بود. با توجه به اتفاقات اخیر و به سرقت رفتن سرور و سایت‌های این گروه، احتمالا عملیات آنها متوقف شود اما باید انتظار داشت که در قالب گروهی دیگر و با باج‌افزاری جدیدتر بازگردند.