作为许多臭名昭著的勒索软件攻击事件背后的团伙,REvil 组织已在其 Tor 支付门户和数据泄露博客在被黑客攻击后再次变得沉默。今年早些时候,REvil 曾高调声称对 Kaseya、Travele 和 JBS 的网络攻击事件负责。而在本次偃旗息鼓之前,该组织已恢复活跃数周。以 Kaseya 以软件供应链被黑为例,REvil 攻击导致数千家美国公司感染了勒索软件。
Recorded Future 的 Dmitry Smilyanets 率先发现 REvil 的最新趋势显示,勒索软件攻击团伙在犯罪论坛的一篇帖子中声称 Tor 服务被劫持并替换为私钥副本,猜测可能来自早期备份。
发帖人写道,REvil 服务器损坏,有人在跟踪。更确切地说,另一个组织在 torrc 在文件中被删除REvil 用于配置 Tor 隐藏服务路径。感觉事情不好后,REvil 选择逃跑。
截至发稿时,还不清楚是谁破坏了 REvil 服务器。《华盛顿邮报》曾在9 月的一份报告中指出,美国联邦调查局已于7 月 Kaseya 攻击后获得了该组织的加密钥。
此外,还有人指出,一个被称为“Unknown”前成员或接管组织。然而,作为 REvil 长期发言人,Unknown 没有出现在其他成员于 9 月复出时。
因为没有人确认 Unknown 失踪的原因,REvil 曾经以为他可能已经不在这个世界上了。但从当天 17 10 分(莫斯科时间 12 点前后)开始,有人试图用同样的密钥登录隐藏服务,这让 REvil 现有成员非常担心。
外媒指出,VX-Underground 是托管恶意软件源代码、样本及相关文章的网站。Twitter 指出,只有 Unknown 和发布论坛的管理者都有 REvil 域密钥,最近有人用 Unknown 的密钥访问了勒索软件团伙的域。
最后,McAfee 表示,与今年第二季度大多数勒索软件检测相关的 REvil 是否已经消失还有待进一步观察。毕竟,自从 9 死灰复燃以来,该组织一直在努力招募和扩大自己,并向第三方攻击者出售其攻击服务。