今年7月2日攻击美国托管软件供应商Kaseya的REvil勒索集团,于7月13日忽然完全消失在网络上,所有于明网或暗网中的基础设施在一夜之间无影无踪,但它在9月7日再度于暗网中再出现踪迹迹,并于9月11日重新进入全面攻击模式。不过,《路透社》于本周报道,美国与其它国家联手,借由渗透REvil的基础设施,已于上周摧毁了REvil。
REvil先是入侵了Kaseya的远程监控与管理软件Kaseya VSA,有近60家Kaseya VSA客户直接遭到波及,并牵连接近1,500家的下游厂商,REvil黑客提出高达7,000万美元的赎金要求,以换取通用解密密钥;Kaseya在7月22日宣布已向可靠的第三方取得解密密钥,并提供给受害的组织。
后来FBI坦承是他们把解密密钥交给Kaseya,而且是在取得密钥之后接近3周的时间才交出去。这意味着FBI应该是在意外发生的第一时间就取得了解密密钥,却未优先选择协助Kaseya的客户,此事让美国国会要求FBI局长Christopher Wray出面说明。
根据《华盛顿邮报》(Washington Post)的报道,FBI是借由访问REvil的服务器才获得解密密钥,之所以没有立刻提供给Kaseya有两个原因,一是相关攻击所造成的损害并没有想象中的严重,二则是FBI打算在不惊动REvil勒索集团的情况下摧毁它们,然而,REvil勒索集团却在FBI还未展开行动之前就消失了。
尽管REvil第一次消失的原因不明,但《路透社》指出,这次REvil再度消失就是美国与其它盟友合作的成果。根据《Bleeping Computer》的报道,REvil勒索软件再度消失发生在10月17日,有人劫持了REvil的Tor支付网站与其资料外泄博客,而且该消息是由代号为0_neday的REvil负责人于黑客论坛上所发布。
0_neday说,这名黑客似乎是通过REvil所拥有的密钥劫持了这两个网站,他担心的事情发生了,有第三方备份了REvil各种暗网服务的密钥。
《路透社》则间接证实了这次是由多国联手摧毁了REvil,该通信社的消息来源是3家与各国合作的安全企业。身为美国特勤局网络犯罪调查顾问的VMWare网络安全策略主管Tom Kellermann向路透社透露,FBI、美国网战司令部(Cyber Command)、美国特勤局与其它志同道合的国家,为了避免有更多的组织受害,联手对抗勒索软件集团,而REvil就位居制裁名单之首。
俄罗斯安全企业Group-IB的鉴识实验室主管Oleg Skulkin则说,REvil黑客从备份中恢复了该勒索软件的基础设施,却不知道该基础设施早已被渗透。
不过,包括FBI在内的美国官方机构都未回应《路透社》的询问,也未证实该通信社的报道。