REvil勒索团伙网站已神秘关闭
2021-07-15
来源:关键基础设施安全应急响应中心
截至昨晚,REvil勒索软件操作的基础设施和网站已神秘关闭。
REvil勒索,又名Sodinokibi,通过许多用作赎金谈判站点、勒索软件数据泄漏站点和后端基础设施的明网和暗网站点运行。
从昨晚开始,REvil勒索软件操作使用的网站和基础设施已神秘关闭。
“简单来说,这个错误通常意味着网站离线或被禁用。要确定,你需要联系洋葱网站管理员,”Tor 项目的Al Smith说。
虽然REvil站点在一段时间内失去连接并不是闻所未闻,但所有站点同时关闭是不寻常的。
此外,解码器 [.]re clear 网站不再可以通过DNS查询解析,这可能表明该域的DNS记录已被拉取或后端 DNS 基础设施已关闭。
Recorded Future 的Alan Liska 表示,REvil网站在美国东部时间昨天上午大约1点下线。
昨天下午,LockBit勒索软件代表在XSS俄语黑客论坛上发帖称,有传言称REvil团伙在得知政府传票后删除了他们的服务器。
“根据未经证实的信息,REvil服务器基础设施收到了政府的法律要求,迫使 REvil完全清除服务器基础设施并消失。但是,这没有得到证实,”这篇文章用俄语说。
关于REvil的LockBit论坛帖子
不久之后,XSS管理员在论坛上禁止了REvil勒索软件团伙的面向公众的代表“未知”账号。
“根据经验,顶级论坛的管理部门会在用户被怀疑受警方控制时禁止他们,”克雷梅兹解释说。
REvil 的“未知”被黑客论坛禁止
7月2日,REvil勒索软件团伙使用Kaseya VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP) 和 1500多家个体企业进行了加密。
作为这些攻击的一部分,REvil最初要求为所有受害者提供7000万美元的通用解密器,但很快将价格降至5000万美元。从那以后,勒索软件组织一直受到执法部门的严格审查,这似乎并没有让“未知”感到不安,由于这些勒索软件团伙通常在俄罗斯境外开展活动,拜登总统一直在与普京总统就袭击事件进行谈判,并警告说,如果俄罗斯不对境内的威胁行为者采取行动,美国将自行采取行动。
“我向他明确表示,美国希望勒索软件操作来自他的领土,即使它不是由国家赞助的,我们希望他们采取行动,如果我们向他们提供足够的信息来确定是谁,”拜登在白宫签署行政命令后表示。
目前,尚不清楚REvil关闭服务器是出于技术原因,还是该团伙关闭了他们的业务,或者是否发生了俄罗斯或美国的执法行动。
其他勒索软件组织,例如DarkSide和Babuk,由于执法部门的压力增加而自愿关闭。然而,当勒索软件组织关闭时,运营商和附属公司通常会重新命名为新的业务,以继续执行勒索软件攻击。过去,当GandCrab关闭并且其许多 成员重新启动为REvil时,我们就看到了后续情况。由于攻击方式的不同,原始组分裂后,Babuk也重新发布为Babuk v2.0。