近日,REvil的Tor支付门户和数据泄露站点被匿名攻击者劫持,导致这个热门勒索软件的运营再次被终结。
此前,一名隶属于REvil的威胁行为者在XSS黑客论坛上发帖称,有人劫持了该团伙的域。该帖子首先由Recorded Future的Dmitry Smilyanets发现,并指出一个匿名攻击者使用与REvil Tor站点相同的私钥劫持了其隐藏服务(洋葱域名),同时可能掌握了这些站点的备份。
论坛帖子显示REvil服务器已被入侵
不仅如此,近期REvil发生的一些列事件,也让其走向不可控的局面:
先是REvil通过Kaseya MSP平台中的零日漏洞,对相关企业进行大规模攻击后突然关闭,其面向公众的公关经理Unknown也不见踪迹。在Unknown人间蒸发后,9月,其余的REvil运营商使用备份再次启动了REvil的网站和运营。
从那以后,REvil的勒索软件业务一直在努力招募人员,甚至将加盟佣金提高到90%,以吸引其他威胁行为者与他们合作。但业内人士认为,由于此前Bitdefender和执法部门获得了REvil主解密密钥的访问权,并发布了免费的解密器,一些威胁行为者认为REvil对于FBI或其他执法部门来说,已经不再构成威胁。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】