REvil勒索软件团伙在高调攻击后神秘消失

REvil 是一些针对 JBS 和 Kaseya 的最大网络攻击背后的臭名昭著的勒索软件卡特尔，它神秘地从暗网上消失了，导致人们猜测犯罪企业可能已被取缔。

由与俄罗斯相关的网络犯罪集团维护的多个暗网和明网站点，包括数据泄露、勒索和支付门户，仍然无法访问，并显示错误消息“找不到 Onionsite”。

该组织在暗网上的Tor 网络基础设施由 1 个数据泄露博客站点和 22 个数据托管站点组成。目前尚不清楚是什么促使基础设施被关闭。

REvil 是最多产的勒索软件即服务 (RaaS) 组织之一，于 2019 年 4 月首次出现在威胁领域。它是GandCrab勒索软件的演变，于 2018 年初进入地下市场。

Emsisoft 的 Brett Callow发推文说： “如果 REvil 被永久破坏，它将标志着一个组织的终结，该组织仅在今年就对美国公共和私营部门进行了 360 次以上的攻击。”

突然的发展紧随针对技术服务提供商 Kaseya的大规模供应链勒索软件攻击之后，REvil（又名 Sodinokibi）对此负责并要求支付 7000 万美元赎金以解锁对加密系统的访问，以换取可以解锁所有受害者数据的通用解密密钥。

在灾难性的攻击中，勒索软件团伙使用 Kaseya VSA 远程管理软件中的零日漏洞对大约 60 家托管服务提供商 (MSP) 和 1,500 多家下游企业进行了加密。5 月下旬，REvil 还策划了对全球最大肉类生产商 JBS 的袭击，最终向勒索者支付了 1100 万美元以从事件中恢复过来。

此次中断也恰逢美国总统乔拜登上周与俄罗斯总统弗拉基米尔普京通电话，敦促后者采取措施破坏在该国运营的勒索软件组织，同时警告采取报复行动保护关键基础设施。

FireEye Mandiant 的 John Hultquist告诉CNBC：“情况仍在发展，但有证据表明，REvil 的基础设施遭到了有计划的、并发的拆除，要么是运营商自己，要么是通过行业或执法行动。”

REvil 的 Happy Blog 似乎在美国东部时间周二凌晨 1 点左右下线，vx-underground指出，该组织面向公众的代表 Unknown 自 7 月 8 日以来就没有在流行的黑客论坛（例如 Exploit 和 XSS）上发帖。

随后，LockBit有代表性的勒索软件发布到XSS讲俄语黑客论坛是雷维尔的攻击基础设施获得了政府的法律要求，导致被拆除的服务器。“REvil 被 XSS 禁止，”vx-underground后来补充道。

在高度公开的事件之后，勒索软件组织潜入地下的情况并不少见。在 DarkSide 团伙在 5 月瞄准 Colonial Pipeline 之后，运营商宣布计划永久结束其 RaaS 附属计划，声称其服务器已被一个不知名的执法机构查封，引发了关于该组织是否真的退休或重新命名的问题以新名称。

几周后，这一理论得到了验证，当时美国司法部上个月透露，通过对比特币踪迹的分析，它能够收回 Colonial Pipeline 支付给 DarkSide 集团的大部分资金。

REvil 的不明原因关闭，以类似的方式，也可能是计划退休的情况，或暂时的挫折，迫使其看似解散，但最终以新身份重新组装以减少关注，或国际化增加的结果全球勒索软件危机之后的审查。

如果事实证明该组织确实永久关闭了运营，此举势必会使该组织的目标陷入困境，没有可行的手段来协商赎金并获得重新获得对其系统的控制权所需的解密密钥，从而永久地将他们锁定在他们的数据之外。

“我不知道这意味着什么，但无论如何，我很高兴！” Red Canary 情报总监 Katie Nickels 在推特上写道。“如果是政府取缔——太棒了，他们正在采取行动。如果演员自愿安静——很好，也许他们害怕了。”