截至昨晚,REvil勒索軟件操作的基礎(chǔ)設(shè)施和網(wǎng)站已神秘關(guān)閉。
REvil勒索,又名Sodinokibi,通過許多用作贖金談判站點、勒索軟件數(shù)據(jù)泄漏站點和后端基礎(chǔ)設(shè)施的明網(wǎng)和暗網(wǎng)站點運行。
從昨晚開始,REvil勒索軟件操作使用的網(wǎng)站和基礎(chǔ)設(shè)施已神秘關(guān)閉。
“簡單來說,這個錯誤通常意味著網(wǎng)站離線或被禁用。要確定,你需要聯(lián)系洋蔥網(wǎng)站管理員,”Tor 項目的Al Smith說。
雖然REvil站點在一段時間內(nèi)失去連接并不是聞所未聞,但所有站點同時關(guān)閉是不尋常的。
此外,解碼器 [.]re clear 網(wǎng)站不再可以通過DNS查詢解析,這可能表明該域的DNS記錄已被拉取或后端 DNS 基礎(chǔ)設(shè)施已關(guān)閉。
Recorded Future 的Alan Liska 表示,REvil網(wǎng)站在美國東部時間昨天上午大約1點下線。
昨天下午,LockBit勒索軟件代表在XSS俄語黑客論壇上發(fā)帖稱,有傳言稱REvil團伙在得知政府傳票后刪除了他們的服務(wù)器。
“根據(jù)未經(jīng)證實的信息,REvil服務(wù)器基礎(chǔ)設(shè)施收到了政府的法律要求,迫使 REvil完全清除服務(wù)器基礎(chǔ)設(shè)施并消失。但是,這沒有得到證實,”這篇文章用俄語說。
關(guān)于REvil的LockBit論壇帖子
不久之后,XSS管理員在論壇上禁止了REvil勒索軟件團伙的面向公眾的代表“未知”賬號。
“根據(jù)經(jīng)驗,頂級論壇的管理部門會在用戶被懷疑受警方控制時禁止他們,”克雷梅茲解釋說。
REvil 的“未知”被黑客論壇禁止
7月2日,REvil勒索軟件團伙使用Kaseya VSA遠程管理軟件中的零日漏洞對大約60家托管服務(wù)提供商(MSP) 和 1500多家個體企業(yè)進行了加密。
作為這些攻擊的一部分,REvil最初要求為所有受害者提供7000萬美元的通用解密器,但很快將價格降至5000萬美元。從那以后,勒索軟件組織一直受到執(zhí)法部門的嚴格審查,這似乎并沒有讓“未知”感到不安,由于這些勒索軟件團伙通常在俄羅斯境外開展活動,拜登總統(tǒng)一直在與普京總統(tǒng)就襲擊事件進行談判,并警告說,如果俄羅斯不對境內(nèi)的威脅行為者采取行動,美國將自行采取行動。
“我向他明確表示,美國希望勒索軟件操作來自他的領(lǐng)土,即使它不是由國家贊助的,我們希望他們采取行動,如果我們向他們提供足夠的信息來確定是誰,”拜登在白宮簽署行政命令后表示。
目前,尚不清楚REvil關(guān)閉服務(wù)器是出于技術(shù)原因,還是該團伙關(guān)閉了他們的業(yè)務(wù),或者是否發(fā)生了俄羅斯或美國的執(zhí)法行動。
其他勒索軟件組織,例如DarkSide和Babuk,由于執(zhí)法部門的壓力增加而自愿關(guān)閉。然而,當(dāng)勒索軟件組織關(guān)閉時,運營商和附屬公司通常會重新命名為新的業(yè)務(wù),以繼續(xù)執(zhí)行勒索軟件攻擊。過去,當(dāng)GandCrab關(guān)閉并且其許多 成員重新啟動為REvil時,我們就看到了后續(xù)情況。由于攻擊方式的不同,原始組分裂后,Babuk也重新發(fā)布為Babuk v2.0。