文章来源:红数位
两个月前,我们报道了:
近日,REvil勒索软件操作的暗网服务器在下线近两个月后突然重新启动。该网站名为Happy Blog,是今年早些时候REvil成员于7月13日关闭的众多服务器之一。
REvil/Sodinokibi变种已被无数勒索软件组织用来实施攻击,曾在Travelex、杰克丹尼尔斯制造商Brown-Forman和肉类加工巨头JBS等众多公司那里勒索钱财。
7月2日,REvil勒索软件团伙(又名 Sodinokibi)利用Kaseya VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP) 及其1500多家企业客户进行加密。然后,REvil要求MSP提供500万美元用于解密器,或44999美元用于各个企业的每个加密扩展。该团伙还要求提供7000万美元的主解密密钥来解密所有Kaseya受害者,但很快将价格降至5000万美元。
袭击发生后,勒索软件团伙面临来自执法部门和白宫的越来越大的压力,他们警告说,如果俄罗斯不对境内的威胁行为者采取行动,美国将自行采取行动。不久之后, REvil勒索软件团伙似乎彻底消失了,他们所有的暗网服务器和基础设施都被关闭。
直到今天,我们都不清楚发生了什么,但它让希望谈判的勒索软件受害者无法解密,也无法恢复文件。当时,许多人表示该组织已经解散,并准备发起一项新的更名勒索软件行动,试图甩掉美国执法调查人员和安全公司。
更神秘的是, Kaseya后来收到了攻击受害者的主解密密钥,并表示它来自受信任的第三方。据信,俄罗斯情报部门收到了威胁行为者的解密密钥,并将其传递给了 FBI,以示善意。
三天前(8日),暗网支付/谈判站点和REvil的“Happy Blog”数据泄露站点突然重新上线。
REvil数据泄露站点上最新的受害者是在2021年7月8日添加的,就在REvil神秘失踪前五天。
与功能正常的数据泄漏站点不同,该暗网协商站点似乎尚未完全运行。虽然它显示了登录页面,如下所示,但它不允许受害者登录该站点。
此外,REvil的“支付门户”(受害者被告知去与 REvil 团伙谈判)也已在同一个旧的暗网URL上恢复。
目前尚不清楚这是否标志着他们的勒索软件团伙的回归或有关执法部门正在打开服务器。在撰写本文时,安全研究人员尚未发现新的REvil样本,目前尚不清楚REvil运营商是否已发起了新的攻击。
多一个点在看
多一条小鱼干