По сообщениям сетевых источников, хакерская группировка REvil вновь приостановила свою деятельность. Согласно имеющимся данным, это произошло после того, как неизвестный человек взломал сайт, который хакеры использовали для приёма платежей от жертв и публикации украденных в ходе атак данных.
Все Tor-сайты REvil перестали функционировать, а связанный с группировкой человек сообщил на форуме XSS, что неизвестный захватил контроль над сайтами хакеров. На этот пост обратил внимание ИБ-специалист Дмитрий Смилянец, работающий в компании Recorded Future. Для взлома использовались закрытые ключи и, по всей видимости, неизвестный имел доступ к резервным копиям ресурсов REvil.
«Поскольку сегодня, 17.10 с 12:00 по московскому времени, кто-то поднял скрытые сервисы лендинга и блог с такими же ключами, как у нас, мои опасения подтвердились. У третьей стороны есть резервные копии с ключами от onion-сервисов», — говорится в сообщении пользователя с ником 0_neday, которое было оставлено на форуме XSS.
Он также добавил, что признаков взлома подконтрольных ему серверов обнаружено не было, но работа вымогательского программного обеспечения REvil будет прекращена. Злоумышленник сообщил, что партнёрам REvil следует связаться с оператором вредоносного ПО для получения ключей дешифрования, чтобы они могли продолжить свою деятельность, связанную с распространением вымогательского ПО. Позднее 0_neday оставил новое сообщение, в котором говорилось, что сервер хакеров скомпрометирован. На данный момент неизвестно, кто именно стоит за атакой на серверы и сайты хакеров из REvil.