事件报道
根据CNBC透露的消息,暗网中的一切跟踪REvil与勒索软件团伙相关的网站从7月13日起就神秘消失了。目前,我们还不清楚是什么原因造成的,因为这些网站最近一直非常活跃,但现在当用户访问相关网站时,他们只会返回“找不到具有指定主机名称的服务器”。
勒索软件REvil也被称为Sodinokibi,是由俄罗斯网络犯罪团伙运营的勒索软件。REvil 勒索病毒堪称 GandCrab的“接班人”。GandCrab 曾经是最大的 RaaS(勒索软件即服务)运营商之一,在赚了很多钱后,于2019年 6 月宣布停止更新。
随后,另一家勒索运营商购买了 GandCrab 代码最早被称为 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”又称 作为程序名称REvil 勒索病毒。
暂时不知道网站消失的原因
目前,我们还不清楚是何原因导致跟REvil与勒索软件相关的黑暗网站消失并离线。然而,这一事件在安全社区引起了研究人员的热烈讨论,许多人认为这可能是当局采取的措施。
众所周知,美俄在网络犯罪方面的压力越来越大。
美国总统拜登还表示,他上个月在日内瓦与俄罗斯总统普京举行峰会时讨论了这个问题,并于周五在电话中向普京提出了这个问题。拜登告诉记者,他已经“很清楚地向他表明……我们希望他们对次采取行动。”并暗示美国可能会直接使用入侵服务器“报复”。
除此之外,美国国家安全委员会的一名官员在接受记者采访时也表示,美国当局预计不久将对勒索软件组织采取行动。
Mandiant威胁情报公司John Hultquist在周二告诉CNBC称:“事件仍在发展中,但有证据表明,REvil有计划的同时下线基础设施,要么是运营商自己做的,要么是相关当局做的。”
Hultquist在电子邮件中补充道:“如果这是一个有针对性的攻击,事件的所有细节可能永远不会被曝光。”
和REvil与勒索软件(勒索软件即服务)相关的已知网站大多处于离线或无响应状态。
Hultquist提到:“跟REvil暗网站(.onion)和明网站点(decoder.re)目前,它们都处于离线状态。虽然我们不知道他们的暗网站是如何关闭的,但他们的明网站域名已经停止分析IP地址,但其特殊域名服务器仍在线。”
勒索软件严重影响了个人和企业的正常生产和生活
勒索软件攻击涉及恶意软件加密设备或网络上的文件,导致系统无法运行。这种网络攻击的幕后黑手通常需要支付数据发布的费用。
美国联邦调查局此前别警告勒索软件攻击的受害者,支付赎金可能会鼓励进一步的恶意活动。
在此之前,美国重要企业今年遭遇了一系列备受关注勒索软件攻击。美国联邦调查局(FBI)还指控了REvil上个月,我们计划为世界上最大的肉类加工公司制定计划JBS勒索软件攻击。
就在上周,REvil还通过针对IT公司Kaseya和全球数百家企业的勒索软件攻击来要求支付巨额的比特币赎金。
据了解,本月早些时候,总部位于佛罗里达州的软件供应商Kaseya它披露了最新的勒索软件攻击,至少传播了6个欧洲国家,破坏了美国数千个网络系统。
REvil它是所有勒索软件团伙中最多产、最可怕的团伙之一,如果这真的是最后一次,那就意义重大了。
知情人士还透露:“联邦调查局“取缔”他们停止了站上,他们停止了其他行动。此外,克里姆林宫施加了压力,因为俄罗斯厌倦了美国和其他国家向他们哭诉勒索软件。”