【安全资讯】REvil勒索团伙使用的基础设施和网站已关闭

7月12日，由REvil勒索软件团伙运营的网站突然无法访问，REvil勒索软件操作的基础设施和网站全部神秘关闭。REvil组织又名Sodinokibi，利用多个明网和暗网运作，被认为与俄罗斯有关联，至今已向受害者收取了数千万美元的赎金。7月2日，REvil勒索软件团伙利用Kaseya公司的VSA产品漏洞，进行了大规模的供应链勒索攻击，对大约60家托管服务提供商(MSP) 和 1500多家企业进行了加密。

目前，REvil组织用于谈判和收取赎金，或泄露数据的网站和后端基础设施全部神秘关闭。勒索软件网站向来不稳定，REvil 网站在一段时间内失去连接并非闻所未闻，但所有网站同时关闭的情况并不常见。此外，解码器 [.]re clear 网站不再可以通过DNS查询解析，这可能表明该域的DNS记录已被拉取或后端 DNS 基础设施已关闭。REvil团伙的Tor站点访问界面如下：

勒索软件网站向来不稳定，目前尚不清楚REvil的消失是否纯属偶然，还是自行使用了关闭工具或被其他人从互联网上删除。REvil的支付门户和公布拒绝支付赎金的受害者名单博客目前都无法访问。虽然 REvil 网站在一段时间内失去连接并非闻所未闻，但所有网站同时关闭的情况并不常见。

13日下午，LockBit勒索软件团伙在XSS俄语黑客论坛上发帖称，有传言称，REvil团伙在收到了政府的传票后，删除了他们的服务器。此前，DarkSide和Babuk等勒索软件团伙都迫于执法部门的压力而自愿停止了运营，但勒索团伙很可能会改头换面，以新的名字归来继续发起勒索软件攻击。目前，尚不清楚REvil关闭服务器是出于技术原因，还是该团伙主动关闭了他们的业务，或者是迫于俄罗斯或美国的执法行动的压力关闭了网站。