[[429818]]

作為多起臭名昭著的勒索軟件攻擊事件背后的團(tuán)伙，REvil 組織已在其 Tor 支付門戶和數(shù)據(jù)泄露博客被黑后再次轉(zhuǎn)入了沉寂。今年早些時(shí)候，REvil 曾高調(diào)宣稱對(duì) Kaseya、Travele 和 JBS 的網(wǎng)絡(luò)攻擊事件負(fù)責(zé)。而在本次偃旗息鼓之前，該組織已恢復(fù)活躍數(shù)周。以 Kaseya 軟件供應(yīng)鏈被黑事件為例，REvil 攻擊導(dǎo)致數(shù)千家美國(guó)企業(yè)感染了勒索軟件。

Recorded Future 的 Dmitry Smilyanets 率先發(fā)現(xiàn)了 REvil 的最新動(dòng)向，可知該勒索軟件攻擊團(tuán)伙在某犯罪論壇的一篇帖子中聲稱，其使用的 Tor 服務(wù)被劫持并替換為私鑰副本、猜測(cè)可能來(lái)自于較早的備份。

發(fā)帖人寫道，REvil 的服務(wù)器遭到了破壞，且有人正在對(duì)其展開(kāi)追蹤。更確切地說(shuō)，另一組織在 torrc 文件中剔除了 REvil 用于配置 Tor 的隱藏服務(wù)路徑。在感到事情有些不妙后，REvil 選擇了逃之夭夭。

截止發(fā)稿時(shí)，尚不清楚到底是誰(shuí)破壞了 REvil 的服務(wù)器。《華盛頓郵報(bào)》曾在 9 月的一篇報(bào)道中指出，美國(guó)聯(lián)邦調(diào)查局已于 7 月 Kaseya 攻擊事件后獲得了該組織的加密密鑰。

此外還有人指出，一位被稱作“Unknown”的前成員或接管該組織。然而作為 REvil 的長(zhǎng)期發(fā)言人，Unknown 并未在其他成員于 9 月復(fù)出時(shí)一同現(xiàn)身。

由于無(wú)人確認(rèn) Unknown 失蹤的原因，REvil 一度以為他可能已經(jīng)不在這個(gè)世上。但從當(dāng)天 17 點(diǎn) 10 分(莫斯科時(shí)間 12 點(diǎn)前后)開(kāi)始，有人試圖用與之相同的密鑰來(lái)登錄隱匿服務(wù)，這讓 REvil 的現(xiàn)有成員感到很是擔(dān)心。

外媒指出，VX-Underground 是一個(gè)托管惡意軟件源代碼、樣本和相關(guān)文章的網(wǎng)站。它在 Twitter 上指出，只有 Unknown 和發(fā)布論壇的管理者擁有 REvil 域密鑰，且最近有人使用 Unknown 的密鑰訪問(wèn)了該勒索軟件團(tuán)伙的域。

最后，McAfee 表示，與今年二季度大多數(shù)勒索軟件檢測(cè)相關(guān)的 REvil 是否已經(jīng)消失，仍有待進(jìn)一步觀察。畢竟自 9 月死灰復(fù)燃依然，該組織一直在使勁招募?jí)汛笞陨怼⒉⑾虻谌焦粽叨凳燮涔舴?wù)。