【捲土重來】REvil 伺服器秘密地重新上線
Bleeping Computer 報道,勒索軟件組織 REvil 用於操作勒索軟件的暗網伺服器,在關閉近兩個月後,突然重新啟動,暫時未知該組織是「回歸」,抑或是執法部門正打開該伺服器。
今年 7 月 2 日,開發網路、系統與資訊科技基礎設施託管軟體的Kaseya,其 Kaseya VSA 遠程監控和管理平台被發現遭 REvil 勒索軟件攻擊者攻擊,並針對多個託管服務提供商 (MSP) 及其客戶發起供應鏈攻擊,REvil 利用系統中的零日漏洞,對大約 60 間託管服務提供商 (Managed Service Providers, MSP) 及其 1,500 多間企業客戶進行加密,並要求 MSP 提供 500 萬美元作解密,或就每間企業的每個加密部分索取 44,999 美元。REvil 還要求提供 7,000 萬美元的主解密密鑰,用作為所有 Kaseya 受害者解密,但隨即又將價格降至 5,000 萬美元。
攻擊事故發生後,REvil 面對來自執法部門和白宮的壓力,他們警告如果俄羅斯不對境內的威脅行為者採取行動,美國將自行採取行動,之後 REvil 組織便消聲匿跡,旗下所有的 Tor 伺服器和基礎設施都被關閉。時至今天,仍未知 REvil 發生了甚麼事,但就令希望談判的受害者無法恢復文件。更離奇的是 Kaseya 後來收到了主解密密鑰,並指該密鑰來自受可信任的第三方。據指,俄羅斯情報部門收到了威脅者的解密密鑰,並將其交給 FBI 以釋出善意。
如今 REvil 的 Tor 支付及談判站點和 REvil 的 Tor Happy Blog 數據洩漏站點突然重新運作。而在 REvil 數據洩漏站點上的最新受害者是在 2021 年 7 月 8 日所添加,即是 REvil 神秘失蹤前五天的事情。與運作正常的數據洩漏站點不同,Tor 協商站點似乎仍未完全運行,未允許受害者登入該站點。