作為多起臭名昭著的勒索軟件攻擊事件背後的團伙,REvil 組織已在其 Tor 支付門戶和數據泄露博客被黑后再次轉入了沉寂。今年早些時候,REvil 曾高調宣稱對 Kaseya、Travele 和 JBS 的網絡攻擊事件負責。而在本次偃旗息鼓之前,該組織已恢復活躍數周。以 Kaseya 軟件供應鏈被黑事件為例,REvil 攻擊導致數千家美國企業感染了勒索軟件。
Recorded Future 的 Dmitry Smilyanets 率先發現了 REvil 的最新動向,可知該勒索軟件攻擊團伙在某犯罪論壇的一篇帖子中聲稱,其使用的 Tor 服務被劫持並替換為私鑰副本、猜測可能來自於較早的備份。
發帖人寫道,REvil 的服務器遭到了破壞,且有人正在對其展開追蹤。更確切地說,另一組織在 torrc 文件中剔除了 REvil 用於配置 Tor 的隱藏服務路徑。在感到事情有些不妙后,REvil 選擇了逃之夭夭。
截止發稿時,尚不清楚到底是誰破壞了 REvil 的服務器。《華盛頓郵報》曾在 9 月的一篇報道中指出,美國聯邦調查局已於 7 月 Kaseya 攻擊事件后獲得了該組織的加密密鑰。
此外還有人指出,一位被稱作“Unknown”的前成員或接管該組織。然而作為 REvil 的長期發言人,Unknown 並未在其他成員於 9 月復出時一同現身。
由於無人確認 Unknown 失蹤的原因,REvil 一度以為他可能已經不在這個世上。但從當天 17 點 10 分(莫斯科時間 12 點前後)開始,有人試圖用與之相同的密鑰來登錄隱匿服務,這讓 REvil 的現有成員感到很是擔心。
外媒指出,VX-Underground 是一個託管惡意軟件源代碼、樣本和相關文章的網站。它在 Twitter 上指出,只有 Unknown 和發布論壇的管理者擁有 REvil 域密鑰,且最近有人使用 Unknown 的密鑰訪問了該勒索軟件團伙的域。
最後,McAfee 表示,與今年二季度大多數勒索軟件檢測相關的 REvil 是否已經消失,仍有待進一步觀察。畢竟自 9 月死灰復燃依然,該組織一直在使勁招募壯大自身、並向第三方攻擊者兜售其攻擊服務。