多位知情人士透露，勒索軟件團伙REvil上周在美國牽頭的聯(lián)合網(wǎng)絡圍剿中被迫再次下線；

　　美國聯(lián)邦調(diào)查局、網(wǎng)絡司令部、特勤局等軍警情報界機構以及外國合作伙伴聯(lián)合發(fā)起了這次行動；

　　REvil團伙成員試圖從備份中恢復網(wǎng)站的運行，但卻在不知不覺中重啟了執(zhí)法機構預埋的后門，導致再次被追捕。

　　日前，三名正在與美國政府合作的私營部門網(wǎng)絡安全專家以及一名前政府官員透露，勒索軟件團伙REvil上周在多國聯(lián)合網(wǎng)絡圍攻中被迫下線。團伙的門戶網(wǎng)站“Happy Blog”（快樂博客）也已停止運營。該網(wǎng)站曾被用來張貼來自受害者的數(shù)據(jù)，以及向受害公司進行勒索。

　　今年5月份，科洛尼爾管道公司（Colonial Pipeline）遭遇網(wǎng)絡攻擊，導致美國東海岸出現(xiàn)大范圍天然氣短缺。REvil當時的同伙被認為應該對此次攻擊負責。美國政府官員聲稱，攻擊科洛尼爾公司的勒索軟件名為“黑暗面”（DarkSide），是由與REvil團伙有關聯(lián)的黑客編寫的。

　　REvi團伙還對多家企業(yè)發(fā)動過直接攻擊，全球最大的肉食品供應商JBS公司就是受害者之一。

　　執(zhí)法和情報部門出手

　　虛擬機軟件廠商VMWare公司網(wǎng)絡安全戰(zhàn)略負責人湯姆？凱勒曼（Tom Kellermann）說，阻止REvil對更多公司實施網(wǎng)絡侵害的，是執(zhí)法與情報兩部門的相關人員。

　　“聯(lián)邦調(diào)查局與美軍網(wǎng)絡司令部、特勤局以及其他目的一致的國家聯(lián)手，對這些網(wǎng)絡犯罪組織實施了實質(zhì)性的打擊行動，”兼任美國特勤局網(wǎng)絡犯罪調(diào)查顧問的凱勒曼說?！癛Evil是上述組織中的首要團伙?！?/p>

　　REvil團伙早些時候偃旗息鼓后，一個網(wǎng)名為“0_neday”的頭目曾試圖重啟該團伙業(yè)務。但他發(fā)現(xiàn)他們使用的服務器遭到匿名方破解。

　　“服務器癱瘓了，他們正在找我，” 0_neday上周末在網(wǎng)絡犯罪論壇上發(fā)帖稱。網(wǎng)絡安全公司Recorded Future第一個發(fā)現(xiàn)了這個帖子?！白４蠹液眠\，我下線了。”

　　備份數(shù)據(jù)被植入后門

　　在數(shù)十個與黑客合伙對世界各地的公司進行滲透和癱瘓的勒索軟件團伙中，REvil是危害最大的一個。今年7月份，該團伙曾入侵美國卡西亞（Kaseya）軟件管理公司，一次性竊取了數(shù)百家該公司客戶的網(wǎng)站進入權限，觸發(fā)了無數(shù)條緊急網(wǎng)絡事件響應。在那之后，美國政府加大了對REvil團伙的“圍剿”的力度。

　　卡西亞公司遭遇網(wǎng)絡入侵時，聯(lián)邦調(diào)查局掌握了一種通用型密鑰，可幫助因入侵事件受損的卡西亞公司客戶不必支付贖金就能恢復本公司重要文檔。

　　但聯(lián)邦調(diào)查局承認，為了隱蔽追蹤REvil團伙成員，執(zhí)法部門的官員并未立即向受害者發(fā)放密鑰，而是在最初數(shù)周時間內(nèi)隱瞞了密鑰的存在。

　　三位知情者透露，執(zhí)法和情報部門的網(wǎng)絡專家早已具備了破解REvil團伙計算機網(wǎng)絡基礎設備的能力，至少可以獲得其中幾臺服務器的控制權。

　　今年7月，REvil團伙用來開展業(yè)務的網(wǎng)站下線后，該團伙自稱“未知”（Unknown）的主要發(fā)言人也從互聯(lián)網(wǎng)上消失。

　　上個月，“0_neday”和其他團伙成員試圖從備份中恢復上述網(wǎng)站的運行，但卻在不知不覺中重啟了某些已經(jīng)被執(zhí)法部門控制的內(nèi)部系統(tǒng)。

　　“勒索軟件團伙REvil試圖利用備份恢復網(wǎng)站運行，他們認為這些備份并未遭到破壞，”俄羅斯安全公司Group-IB取證實驗室副主管奧列格？斯庫爾金（Oleg Skulkin）說?！暗苤S刺的是，團伙成員最喜歡的備份破解戰(zhàn)術這次被用在了他們自己身上?！?/p>

　　據(jù)悉，可靠的備份是抵御勒索軟件攻擊最重要的防護手段之一。但這些備份的保存必須斷開與主網(wǎng)絡的聯(lián)接，否則也可能遭到REvil之類的勒索團伙破解。

　　網(wǎng)絡圍剿仍在進行中

　　白宮國家安全委員會發(fā)言人沒有就此行動發(fā)表專門評論，但他表示：

　　“概括來說，就是我們正在執(zhí)行一項由政府出面組織的‘反勒索’行動。任務內(nèi)容包括破解勒索軟件團伙的基礎設施、設備，打擊實施網(wǎng)絡勒索活動的人員，同時與私營部門合作構建更現(xiàn)代化的（網(wǎng)絡）防御體系，并組建一個國際聯(lián)盟，追究那些包庇網(wǎng)絡勒索分子的國家的責任。”

　　聯(lián)邦調(diào)查局拒絕對該行動做出評論。

　　一名知情人士透露，執(zhí)行網(wǎng)絡破解任務的是美國政府的外國合作伙伴。后者通過復雜技術手段侵入了REvil團伙的計算機系統(tǒng)。一位不愿意透露姓名的前美國政府官員表示，上述行動仍在進行中。

　　凱勒曼說，REvil團伙的計算機系統(tǒng)能夠被成功破解應歸功于美國司法部副部長麗莎？摩那哥（Lisa Monaco）的決心。她曾表示，針對國家關鍵基礎設施的勒索軟件攻擊應該被視為等同于恐怖活動的行為。

　　今年6月，美國司法部副總檢察長理約翰？卡林（John Carlin）接受路透社采訪時表示，司法部正在將針對勒索軟件攻擊的調(diào)查提升為與恐怖活動調(diào)查類似的優(yōu)先事項。

　　凱勒曼說，此決定給美國司法部及其他政府部門提供了一個法律基礎，可據(jù)此要求情報機構和國防部提供幫助。

　　“以前沒有人可以侵入那些論壇，軍方也不愿意插手。但現(xiàn)在就沒有必要再手下留情了?！?/p>