【安全资讯】REvil勒索团伙服务器遭入侵，再次关闭运营

引言

REvil组织是一个勒索软件即服务（RaaS）组织，近年来发起一系列网络攻击，包括对Kaseya、宏碁、JBS、广达电脑等公司的攻击。7月13日，该组织在针对 Kaseya 服务器发起大规模勒索软件攻击后关闭了其网络基础设施。随后于9月7日卷土重来。而近日，由于Tor支付站点和用于泄露数据的网站遭到入侵，该组织似乎又一次关闭了运营。

简况

与俄罗斯有关联的REvil勒索软件组织，在今年早些时候攻击了JBS和Kaseya后，受到了严格的审查，促使其在 2021 年 7 月将其暗网站点下线。但在2021年9月，REvil组织意外回归，重新运营其数据泄漏网站，支付和谈判门户重新上线。

REvil组织的一个名为‘0_neday’的黑客发帖表示，莫斯科时间10月17日12点，一位不明身份的人控制了该组织的Tor支付门户网站以及用于泄露数据的网站，使用与 REvil 的 Tor 站点相同的私钥劫持了 Tor 隐藏服务，并且可能拥有这些站点的备份。因此REvil组织将再次关闭其运营。0_neday发布的帖子如下：

由于Bitdefender安全公司和执法部门曾获得了主 REvil 解密密钥的访问权并发布了免费的解密器，因此一些威胁行为者认为 FBI 或其他执法部门自网站重新启动以来就可以访问服务器。

总结

目前尚不清楚此次REvil服务器入侵事件的幕后黑手。勒索软件团体以新的名称发展、分裂或重组的情况并不少见，REvil组织此次关闭运营也并不意味着永远消失，该组织很可能很快就以新的名称回归，继续发起勒索软件攻击。