《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > REvil勒索团伙网站已神秘关闭

REvil勒索团伙网站已神秘关闭

2021-07-15
来源:关键基础设施安全应急响应中心
关键词: REvil 勒索 关闭

截至昨晚,REvil勒索软件操作的基础设施和网站已神秘关闭

微信图片_20210715082905.jpg

  REvil勒索,又名Sodinokibi,通过许多用作赎金谈判站点、勒索软件数据泄漏站点和后端基础设施的明网和暗网站点运行。

  从昨晚开始,REvil勒索软件操作使用的网站和基础设施已神秘关闭。

微信图片_20210715082908.jpg

  “简单来说,这个错误通常意味着网站离线或被禁用。要确定,你需要联系洋葱网站管理员,”Tor 项目的Al Smith说。

  虽然REvil站点在一段时间内失去连接并不是闻所未闻,但所有站点同时关闭是不寻常的。

  此外,解码器 [.]re clear 网站不再可以通过DNS查询解析,这可能表明该域的DNS记录已被拉取或后端 DNS 基础设施已关闭。

微信图片_20210715082910.jpg

  Recorded Future 的Alan Liska 表示,REvil网站在美国东部时间昨天上午大约1点下线。

  昨天下午,LockBit勒索软件代表在XSS俄语黑客论坛上发帖称,有传言称REvil团伙在得知政府传票后删除了他们的服务器。

  “根据未经证实的信息,REvil服务器基础设施收到了政府的法律要求,迫使 REvil完全清除服务器基础设施并消失。但是,这没有得到证实,”这篇文章用俄语说。

微信图片_20210715082913.jpg

  关于REvil的LockBit论坛帖子

  不久之后,XSS管理员在论坛上禁止了REvil勒索软件团伙的面向公众的代表“未知”账号。

  “根据经验,顶级论坛的管理部门会在用户被怀疑受警方控制时禁止他们,”克雷梅兹解释说。

微信图片_20210715082916.jpg

  REvil 的“未知”被黑客论坛禁止

  7月2日,REvil勒索软件团伙使用Kaseya VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP) 和 1500多家个体企业进行了加密。

  作为这些攻击的一部分,REvil最初要求为所有受害者提供7000万美元的通用解密器,但很快将价格降至5000万美元。从那以后,勒索软件组织一直受到执法部门的严格审查,这似乎并没有让“未知”感到不安,由于这些勒索软件团伙通常在俄罗斯境外开展活动,拜登总统一直在与普京总统就袭击事件进行谈判,并警告说,如果俄罗斯不对境内的威胁行为者采取行动,美国将自行采取行动。

  “我向他明确表示,美国希望勒索软件操作来自他的领土,即使它不是由国家赞助的,我们希望他们采取行动,如果我们向他们提供足够的信息来确定是谁,”拜登在白宫签署行政命令后表示。

  目前,尚不清楚REvil关闭服务器是出于技术原因,还是该团伙关闭了他们的业务,或者是否发生了俄罗斯或美国的执法行动。

  其他勒索软件组织,例如DarkSide和Babuk,由于执法部门的压力增加而自愿关闭。然而,当勒索软件组织关闭时,运营商和附属公司通常会重新命名为新的业务,以继续执行勒索软件攻击。过去,当GandCrab关闭并且其许多 成员重新启动为REvil时,我们就看到了后续情况。由于攻击方式的不同,原始组分裂后,Babuk也重新发布为Babuk v2.0。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。