[[429818]]

作為多起臭名昭著的勒索軟件攻擊事件背后的團伙，REvil 組織已在其 Tor 支付門戶和數(shù)據(jù)泄露博客被黑后再次轉(zhuǎn)入了沉寂。今年早些時候，REvil 曾高調(diào)宣稱對 Kaseya、Travele 和 JBS 的網(wǎng)絡(luò)攻擊事件負責(zé)。而在本次偃旗息鼓之前，該組織已恢復(fù)活躍數(shù)周。以 Kaseya 軟件供應(yīng)鏈被黑事件為例，REvil 攻擊導(dǎo)致數(shù)千家美國企業(yè)感染了勒索軟件。

Recorded Future 的 Dmitry Smilyanets 率先發(fā)現(xiàn)了 REvil 的最新動向，可知該勒索軟件攻擊團伙在某犯罪論壇的一篇帖子中聲稱，其使用的 Tor 服務(wù)被劫持并替換為私鑰副本、猜測可能來自于較早的備份。

發(fā)帖人寫道，REvil 的服務(wù)器遭到了破壞，且有人正在對其展開追蹤。更確切地說，另一組織在 torrc 文件中剔除了 REvil 用于配置 Tor 的隱藏服務(wù)路徑。在感到事情有些不妙后，REvil 選擇了逃之夭夭。

截止發(fā)稿時，尚不清楚到底是誰破壞了 REvil 的服務(wù)器?！度A盛頓郵報》曾在 9 月的一篇報道中指出，美國聯(lián)邦調(diào)查局已于 7 月 Kaseya 攻擊事件后獲得了該組織的加密密鑰。

此外還有人指出，一位被稱作“Unknown”的前成員或接管該組織。然而作為 REvil 的長期發(fā)言人，Unknown 并未在其他成員于 9 月復(fù)出時一同現(xiàn)身。

由于無人確認 Unknown 失蹤的原因，REvil 一度以為他可能已經(jīng)不在這個世上。但從當(dāng)天 17 點 10 分(莫斯科時間 12 點前后)開始，有人試圖用與之相同的密鑰來登錄隱匿服務(wù)，這讓 REvil 的現(xiàn)有成員感到很是擔(dān)心。

外媒指出，VX-Underground 是一個托管惡意軟件源代碼、樣本和相關(guān)文章的網(wǎng)站。它在 Twitter 上指出，只有 Unknown 和發(fā)布論壇的管理者擁有 REvil 域密鑰，且最近有人使用 Unknown 的密鑰訪問了該勒索軟件團伙的域。

最后，McAfee 表示，與今年二季度大多數(shù)勒索軟件檢測相關(guān)的 REvil 是否已經(jīng)消失，仍有待進一步觀察。畢竟自 9 月死灰復(fù)燃依然，該組織一直在使勁招募壯大自身、并向第三方攻擊者兜售其攻擊服務(wù)。