【安全资讯】沉寂后复出，REvil勒索组织重启服务器后再次上线

引言

7月13日，在针对 Kaseya 服务器发起大规模勒索软件攻击后，REvil组织关闭了其网络基础设施。9月7日，REvil勒索软件运行的暗网服务器在消失近两个月后突然重新启动。重启的网站名为 Happy Blog，是REvil 成员于7月13日关闭的众多服务器之一。

简况

REvil是一个勒索软件即服务（RaaS）组织，于2019年4月开始由俄罗斯黑客组织运营，据信是于2019 年 6月关闭的GandCrab勒索软件团伙的分支。REvil今年至少攻击了 360 家美国组织，今年的赎金收入超过 1100 万美元，其中包括对宏碁、JBS、广达电脑等公司的高调攻击。

REvil勒索软件组织在美国7月4日假期期间针对 Kaseya 服务器发起大规模勒索软件攻击，影响了数千家企业，这一事件引起了白宫官员的注意，随后该组织关闭了其网络基础设施。当时，许多人表示该组织已经解散，并可能会准备更名，重新发起勒索软件活动，试图用这种方式甩掉美国执法调查人员和安全公司。

但9月7日早些时候，该组织的Happy Blog网站在关闭近两个月后重新在暗网上上线，REvil 的“支付门户”（受害者被告知去与 REvil 团伙谈判）也已在同一个旧的暗网.onion URL上恢复。Happy Blog网站截图如下：

总结

目前，该网站暂时未列出新的受害者，研究人员也尚未发现新的 REvil 样本。尚不清楚网站重启是否意味着REvil勒索软件组织的东山再起。