多位知情人士透露，勒索軟件團(tuán)伙REvil上周在美國(guó)牽頭的聯(lián)合網(wǎng)絡(luò)圍剿中被迫再次下線(xiàn)；

　　美國(guó)聯(lián)邦調(diào)查局、網(wǎng)絡(luò)司令部、特勤局等軍警情報(bào)界機(jī)構(gòu)以及外國(guó)合作伙伴聯(lián)合發(fā)起了這次行動(dòng)；

　　REvil團(tuán)伙成員試圖從備份中恢復(fù)網(wǎng)站的運(yùn)行，但卻在不知不覺(jué)中重啟了執(zhí)法機(jī)構(gòu)預(yù)埋的后門(mén)，導(dǎo)致再次被追捕。

　　日前，三名正在與美國(guó)政府合作的私營(yíng)部門(mén)網(wǎng)絡(luò)安全專(zhuān)家以及一名前政府官員透露，勒索軟件團(tuán)伙REvil上周在多國(guó)聯(lián)合網(wǎng)絡(luò)圍攻中被迫下線(xiàn)。團(tuán)伙的門(mén)戶(hù)網(wǎng)站“Happy Blog”（快樂(lè)博客）也已停止運(yùn)營(yíng)。該網(wǎng)站曾被用來(lái)張貼來(lái)自受害者的數(shù)據(jù)，以及向受害公司進(jìn)行勒索。

　　今年5月份，科洛尼爾管道公司（Colonial Pipeline）遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致美國(guó)東海岸出現(xiàn)大范圍天然氣短缺。REvil當(dāng)時(shí)的同伙被認(rèn)為應(yīng)該對(duì)此次攻擊負(fù)責(zé)。美國(guó)政府官員聲稱(chēng)，攻擊科洛尼爾公司的勒索軟件名為“黑暗面”（DarkSide），是由與REvil團(tuán)伙有關(guān)聯(lián)的黑客編寫(xiě)的。

　　REvi團(tuán)伙還對(duì)多家企業(yè)發(fā)動(dòng)過(guò)直接攻擊，全球最大的肉食品供應(yīng)商JBS公司就是受害者之一。

　　執(zhí)法和情報(bào)部門(mén)出手

　　虛擬機(jī)軟件廠(chǎng)商VMWare公司網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人湯姆？凱勒曼（Tom Kellermann）說(shuō)，阻止REvil對(duì)更多公司實(shí)施網(wǎng)絡(luò)侵害的，是執(zhí)法與情報(bào)兩部門(mén)的相關(guān)人員。

　　“聯(lián)邦調(diào)查局與美軍網(wǎng)絡(luò)司令部、特勤局以及其他目的一致的國(guó)家聯(lián)手，對(duì)這些網(wǎng)絡(luò)犯罪組織實(shí)施了實(shí)質(zhì)性的打擊行動(dòng)，”兼任美國(guó)特勤局網(wǎng)絡(luò)犯罪調(diào)查顧問(wèn)的凱勒曼說(shuō)?！癛Evil是上述組織中的首要團(tuán)伙?！?/p>

　　REvil團(tuán)伙早些時(shí)候偃旗息鼓后，一個(gè)網(wǎng)名為“0_neday”的頭目曾試圖重啟該團(tuán)伙業(yè)務(wù)。但他發(fā)現(xiàn)他們使用的服務(wù)器遭到匿名方破解。

　　“服務(wù)器癱瘓了，他們正在找我，” 0_neday上周末在網(wǎng)絡(luò)犯罪論壇上發(fā)帖稱(chēng)。網(wǎng)絡(luò)安全公司Recorded Future第一個(gè)發(fā)現(xiàn)了這個(gè)帖子?！白４蠹液眠\(yùn)，我下線(xiàn)了?！?/p>

　　備份數(shù)據(jù)被植入后門(mén)

　　在數(shù)十個(gè)與黑客合伙對(duì)世界各地的公司進(jìn)行滲透和癱瘓的勒索軟件團(tuán)伙中，REvil是危害最大的一個(gè)。今年7月份，該團(tuán)伙曾入侵美國(guó)卡西亞（Kaseya）軟件管理公司，一次性竊取了數(shù)百家該公司客戶(hù)的網(wǎng)站進(jìn)入權(quán)限，觸發(fā)了無(wú)數(shù)條緊急網(wǎng)絡(luò)事件響應(yīng)。在那之后，美國(guó)政府加大了對(duì)REvil團(tuán)伙的“圍剿”的力度。

　　卡西亞公司遭遇網(wǎng)絡(luò)入侵時(shí)，聯(lián)邦調(diào)查局掌握了一種通用型密鑰，可幫助因入侵事件受損的卡西亞公司客戶(hù)不必支付贖金就能恢復(fù)本公司重要文檔。

　　但聯(lián)邦調(diào)查局承認(rèn)，為了隱蔽追蹤REvil團(tuán)伙成員，執(zhí)法部門(mén)的官員并未立即向受害者發(fā)放密鑰，而是在最初數(shù)周時(shí)間內(nèi)隱瞞了密鑰的存在。

　　三位知情者透露，執(zhí)法和情報(bào)部門(mén)的網(wǎng)絡(luò)專(zhuān)家早已具備了破解REvil團(tuán)伙計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的能力，至少可以獲得其中幾臺(tái)服務(wù)器的控制權(quán)。

　　今年7月，REvil團(tuán)伙用來(lái)開(kāi)展業(yè)務(wù)的網(wǎng)站下線(xiàn)后，該團(tuán)伙自稱(chēng)“未知”（Unknown）的主要發(fā)言人也從互聯(lián)網(wǎng)上消失。

　　上個(gè)月，“0_neday”和其他團(tuán)伙成員試圖從備份中恢復(fù)上述網(wǎng)站的運(yùn)行，但卻在不知不覺(jué)中重啟了某些已經(jīng)被執(zhí)法部門(mén)控制的內(nèi)部系統(tǒng)。

　　“勒索軟件團(tuán)伙REvil試圖利用備份恢復(fù)網(wǎng)站運(yùn)行，他們認(rèn)為這些備份并未遭到破壞，”俄羅斯安全公司Group-IB取證實(shí)驗(yàn)室副主管奧列格？斯庫(kù)爾金（Oleg Skulkin）說(shuō)?！暗苤S刺的是，團(tuán)伙成員最喜歡的備份破解戰(zhàn)術(shù)這次被用在了他們自己身上。”

　　據(jù)悉，可靠的備份是抵御勒索軟件攻擊最重要的防護(hù)手段之一。但這些備份的保存必須斷開(kāi)與主網(wǎng)絡(luò)的聯(lián)接，否則也可能遭到REvil之類(lèi)的勒索團(tuán)伙破解。

　　網(wǎng)絡(luò)圍剿仍在進(jìn)行中

　　白宮國(guó)家安全委員會(huì)發(fā)言人沒(méi)有就此行動(dòng)發(fā)表專(zhuān)門(mén)評(píng)論，但他表示：

　　“概括來(lái)說(shuō)，就是我們正在執(zhí)行一項(xiàng)由政府出面組織的‘反勒索’行動(dòng)。任務(wù)內(nèi)容包括破解勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施、設(shè)備，打擊實(shí)施網(wǎng)絡(luò)勒索活動(dòng)的人員，同時(shí)與私營(yíng)部門(mén)合作構(gòu)建更現(xiàn)代化的（網(wǎng)絡(luò)）防御體系，并組建一個(gè)國(guó)際聯(lián)盟，追究那些包庇網(wǎng)絡(luò)勒索分子的國(guó)家的責(zé)任。”

　　聯(lián)邦調(diào)查局拒絕對(duì)該行動(dòng)做出評(píng)論。

　　一名知情人士透露，執(zhí)行網(wǎng)絡(luò)破解任務(wù)的是美國(guó)政府的外國(guó)合作伙伴。后者通過(guò)復(fù)雜技術(shù)手段侵入了REvil團(tuán)伙的計(jì)算機(jī)系統(tǒng)。一位不愿意透露姓名的前美國(guó)政府官員表示，上述行動(dòng)仍在進(jìn)行中。

　　凱勒曼說(shuō)，REvil團(tuán)伙的計(jì)算機(jī)系統(tǒng)能夠被成功破解應(yīng)歸功于美國(guó)司法部副部長(zhǎng)麗莎？摩那哥（Lisa Monaco）的決心。她曾表示，針對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊應(yīng)該被視為等同于恐怖活動(dòng)的行為。

　　今年6月，美國(guó)司法部副總檢察長(zhǎng)理約翰？卡林（John Carlin）接受路透社采訪(fǎng)時(shí)表示，司法部正在將針對(duì)勒索軟件攻擊的調(diào)查提升為與恐怖活動(dòng)調(diào)查類(lèi)似的優(yōu)先事項(xiàng)。

　　凱勒曼說(shuō)，此決定給美國(guó)司法部及其他政府部門(mén)提供了一個(gè)法律基礎(chǔ)，可據(jù)此要求情報(bào)機(jī)構(gòu)和國(guó)防部提供幫助。

　　“以前沒(méi)有人可以侵入那些論壇，軍方也不愿意插手。但現(xiàn)在就沒(méi)有必要再手下留情了?！?/p>