信息來(lái)源：安全內(nèi)參

在一個(gè)不知名的人劫持了他們的暗網(wǎng)支付門(mén)戶和數(shù)據(jù)泄露博客之后，REvil勒索軟件團(tuán)隊(duì)再次關(guān)閉網(wǎng)站。其暗網(wǎng)站點(diǎn)昨天早些時(shí)候下線，一名隸屬于REvil行動(dòng)的黑客在某知名黑客論壇上發(fā)帖稱，有人劫持了該團(tuán)伙的域名。

該事件由外部安全研究人員首先發(fā)現(xiàn)，指出一個(gè)不知名的人使用與REvil的暗網(wǎng)站點(diǎn)相同的私鑰劫持了Tor隱藏服務(wù)(洋蔥域)，并且可能擁有這些站點(diǎn)的備份。

“但自從今天莫斯科時(shí)間10月17日12點(diǎn)，有人祭出了登陸和博客的隱藏服務(wù)，使用與我們相同的密鑰，我的擔(dān)憂得到了證實(shí)。第三方有洋蔥服務(wù)密鑰的備份”一個(gè)名為‘0_neday’的黑客在黑客論壇上發(fā)帖。

該黑客繼續(xù)說(shuō)，他們沒(méi)有發(fā)現(xiàn)服務(wù)器受到威脅的跡象，但將關(guān)閉該操作。

然后，威脅行為者告訴附屬機(jī)構(gòu)通過(guò)Tox與他聯(lián)系以獲取解密密鑰，這樣附屬機(jī)構(gòu)可能會(huì)繼續(xù)勒索受害者并在支付贖金時(shí)提供解密器。

要啟動(dòng)Tor隱藏服務(wù)(.onion 域)，您需要生成一個(gè)私鑰和公鑰對(duì)，用于初始化服務(wù)。私鑰必須是安全的，并且只有受信任的管理員才能訪問(wèn)，因?yàn)槿魏斡袡?quán)訪問(wèn)此密鑰的人都可以使用它在自己的服務(wù)器上啟動(dòng)相同的.onion服務(wù)。由于第三方能夠劫持域，這意味著他們也可以訪問(wèn)隱藏服務(wù)的私鑰。

昨天晚上，0_neday再次在黑客論壇主題上發(fā)帖，但這次說(shuō)他們的服務(wù)器被入侵了，無(wú)論是誰(shuí)做的，都是針對(duì)REvil團(tuán)隊(duì)的。

論壇帖子指出REvil服務(wù)器已被入侵

目前，尚不清楚是誰(shuí)破壞了他們的服務(wù)器。

由于Bitdefender和執(zhí)法部門(mén)獲得了主REvil解密密鑰的訪問(wèn)權(quán)并發(fā)布了免費(fèi)的解密器，一些威脅行為者認(rèn)為FBI或其他執(zhí)法部門(mén)自重新啟動(dòng)以來(lái)就可以訪問(wèn)服務(wù)器。由于沒(méi)有人知道Unknown(REvil公開(kāi)代表)發(fā)生了什么，REvil團(tuán)隊(duì)也有可能試圖重新控制操作。

REvil可能會(huì)永久關(guān)閉

在REvil通過(guò)Kaseya MSP平臺(tái)中的零日漏洞對(duì)公司進(jìn)行大規(guī)模攻擊后 ，REvil后續(xù)操作突然關(guān)閉，其面向公眾的代表Unknown消失了。

在Unknown沒(méi)有回來(lái)之后，其余的REvil運(yùn)營(yíng)商在9月使用備份再次啟動(dòng)了操作和網(wǎng)站。（延伸閱讀：REvil正式同名復(fù)出，消失內(nèi)幕曝光）從那以后，勒索軟件業(yè)務(wù)一直在努力招募用戶，甚至將附屬公司的傭金提高到90%， 以吸引其他威脅行為者與他們合作。

由于這次最新的事故，其當(dāng)前REvil品牌可能會(huì)永遠(yuǎn)消失。然而，對(duì)于勒索軟件來(lái)說(shuō)，沒(méi)有什么事會(huì)永遠(yuǎn)持續(xù)下去，很可能很快就會(huì)將重新更名再次上線。