REvil是臭名昭著的俄罗斯关联勒索软件团伙,据称对今年早些时候对Kaseya、Travelex和JBS的高调网络攻击负责。
在一个不知名的人劫持了他们的Tor支付门户和数据泄露博客之后,REvil勒索软件行动很可能再次关闭。
Tor站点今天早些时候下线,一名隶属于REvil行动的威胁行为者在XSS黑客论坛上发帖称,有人劫持了该团伙的域名。
该劫持首先由Recorded Future的Dmitry Smilyanets发现,并指出一个不知名的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务(洋葱域名),并且可能拥有这些站点的备份。
“但是自从今天莫斯科时间12点至17点10分,有人用和我们的密钥相同的密钥提出了登陆和博客的隐藏服务,我们的担心得到了证实,第三方有我们洋葱服务密钥的备份。“一个被称为“0_neday”的威胁行为者在黑客论坛上发帖。
该威胁行为者继续说,他们没有发现其服务器被破坏的迹象,但将关闭该行动。
然后,威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥,这样附属机构就可以继续勒索受害者并在支付赎金时提供解密器。
要启动Tor隐藏服务(.onion域),您需要生成一个私钥和公钥对,用于初始化服务。
私钥必须是安全的,并且只有受信任的管理员才能访问,因为任何有权访问此密钥的人都可以用它在自己的服务器上启动相同的.onion服务。
由于第三方能够劫持这些域名,这意味着他们也可以访问隐藏服务的私钥。
今天晚上,0_neday再次在黑客论坛主题上发帖,但这次说他们的服务器被入侵了,无论是谁做的,都是针对威胁者的。
目前,尚不清楚是谁入侵了他们的服务器。
由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器,一些威胁行为者认为FBI或其他执法部门自其重新启动以来就可以访问服务器。
由于没有人知道发生了什么,也有可能是威胁行为者试图重新获得对行动的控制。
REvil可能会永久关闭
在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后,REvil的运营突然关闭,他们面向公众的代表Unknown消失了。
在Unknown没有回来之后,REvil的其他操作者在9月利用备份再次启动了操作和网站。
从那以后,勒索软件业务一直在努力招募用户,甚至将联盟的佣金提高到90%,以吸引其他威胁者与他们合作。
由于这次最新的事故,目前论坛上的行动很可能将永远消失。
然而,对于勒索软件来说,没有什么好事会永远持续下去,他们很可能很快就会将它们重新命名为一项新业务。