在一個不知名的人劫持了他們的暗網(wǎng)支付門戶和數(shù)據(jù)泄露博客之后，REvil勒索軟件團隊再次關閉網(wǎng)站。其暗網(wǎng)站點昨天早些時候下線，一名隸屬于REvil行動的黑客在某知名黑客論壇上發(fā)帖稱，有人劫持了該團伙的域名。

　　該事件由外部安全研究人員首先發(fā)現(xiàn)，指出一個不知名的人使用與REvil的暗網(wǎng)站點相同的私鑰劫持了Tor隱藏服務（洋蔥域），并且可能擁有這些站點的備份。

　　“但自從今天莫斯科時間10月17日12點，有人祭出了登陸和博客的隱藏服務，使用與我們相同的密鑰，我的擔憂得到了證實。第三方有洋蔥服務密鑰的備份”一個名為‘0_neday’的黑客在黑客論壇上發(fā)帖。

　　該黑客繼續(xù)說，他們沒有發(fā)現(xiàn)服務器受到威脅的跡象，但將關閉該操作。

　　然后，威脅行為者告訴附屬機構(gòu)通過Tox與他聯(lián)系以獲取解密密鑰，這樣附屬機構(gòu)可能會繼續(xù)勒索受害者并在支付贖金時提供解密器。

　　要啟動Tor隱藏服務（。onion 域），您需要生成一個私鑰和公鑰對，用于初始化服務。私鑰必須是安全的，并且只有受信任的管理員才能訪問，因為任何有權(quán)訪問此密鑰的人都可以使用它在自己的服務器上啟動相同的。onion服務。由于第三方能夠劫持域，這意味著他們也可以訪問隱藏服務的私鑰。

　　昨天晚上，0_neday再次在黑客論壇主題上發(fā)帖，但這次說他們的服務器被入侵了，無論是誰做的，都是針對REvil團隊的。

　　論壇帖子指出REvil服務器已被入侵

　　目前，尚不清楚是誰破壞了他們的服務器。

　　由于Bitdefender和執(zhí)法部門獲得了主REvil解密密鑰的訪問權(quán)并發(fā)布了免費的解密器，一些威脅行為者認為FBI或其他執(zhí)法部門自重新啟動以來就可以訪問服務器。由于沒有人知道Unknown（REvil公開代表）發(fā)生了什么，REvil團隊也有可能試圖重新控制操作。

　　REvil可能會永久關閉

　　在REvil通過Kaseya MSP平臺中的零日漏洞對公司進行大規(guī)模攻擊后 ，REvil后續(xù)操作突然關閉，其面向公眾的代表Unknown消失了。

　　在Unknown沒有回來之后，其余的REvil運營商在9月使用備份再次啟動了操作和網(wǎng)站。（延伸閱讀：REvil正式同名復出，消失內(nèi)幕曝光）從那以后，勒索軟件業(yè)務一直在努力招募用戶，甚至將附屬公司的傭金提高到90%， 以吸引其他威脅行為者與他們合作。

　　由于這次最新的事故，其當前REvil品牌可能會永遠消失。然而，對于勒索軟件來說，沒有什么事會永遠持續(xù)下去，很可能很快就會將重新更名再次上線。