安全動(dòng)態(tài)

REvil勒索軟件因服務(wù)器被入侵再次關(guān)閉

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-10-18    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


在一個(gè)不知名的人劫持了他們的暗網(wǎng)支付門戶和數(shù)據(jù)泄露博客之后,REvil勒索軟件團(tuán)隊(duì)再次關(guān)閉網(wǎng)站。其暗網(wǎng)站點(diǎn)昨天早些時(shí)候下線,一名隸屬于REvil行動(dòng)的黑客在某知名黑客論壇上發(fā)帖稱,有人劫持了該團(tuán)伙的域名。

該事件由外部安全研究人員首先發(fā)現(xiàn),指出一個(gè)不知名的人使用與REvil的暗網(wǎng)站點(diǎn)相同的私鑰劫持了Tor隱藏服務(wù)(洋蔥域),并且可能擁有這些站點(diǎn)的備份。

“但自從今天莫斯科時(shí)間10月17日12點(diǎn),有人祭出了登陸和博客的隱藏服務(wù),使用與我們相同的密鑰,我的擔(dān)憂得到了證實(shí)。第三方有洋蔥服務(wù)密鑰的備份”一個(gè)名為‘0_neday’的黑客在黑客論壇上發(fā)帖。

該黑客繼續(xù)說(shuō),他們沒(méi)有發(fā)現(xiàn)服務(wù)器受到威脅的跡象,但將關(guān)閉該操作。

然后,威脅行為者告訴附屬機(jī)構(gòu)通過(guò)Tox與他聯(lián)系以獲取解密密鑰,這樣附屬機(jī)構(gòu)可能會(huì)繼續(xù)勒索受害者并在支付贖金時(shí)提供解密器。

要啟動(dòng)Tor隱藏服務(wù)(.onion 域),您需要生成一個(gè)私鑰和公鑰對(duì),用于初始化服務(wù)。私鑰必須是安全的,并且只有受信任的管理員才能訪問(wèn),因?yàn)槿魏斡袡?quán)訪問(wèn)此密鑰的人都可以使用它在自己的服務(wù)器上啟動(dòng)相同的.onion服務(wù)。由于第三方能夠劫持域,這意味著他們也可以訪問(wèn)隱藏服務(wù)的私鑰。

昨天晚上,0_neday再次在黑客論壇主題上發(fā)帖,但這次說(shuō)他們的服務(wù)器被入侵了,無(wú)論是誰(shuí)做的,都是針對(duì)REvil團(tuán)隊(duì)的。

論壇帖子指出REvil服務(wù)器已被入侵

目前,尚不清楚是誰(shuí)破壞了他們的服務(wù)器。

由于Bitdefender和執(zhí)法部門獲得了主REvil解密密鑰的訪問(wèn)權(quán)并發(fā)布了免費(fèi)的解密器,一些威脅行為者認(rèn)為FBI或其他執(zhí)法部門自重新啟動(dòng)以來(lái)就可以訪問(wèn)服務(wù)器。由于沒(méi)有人知道Unknown(REvil公開(kāi)代表)發(fā)生了什么,REvil團(tuán)隊(duì)也有可能試圖重新控制操作。

REvil可能會(huì)永久關(guān)閉

在REvil通過(guò)Kaseya MSP平臺(tái)中的零日漏洞對(duì)公司進(jìn)行大規(guī)模攻擊后 ,REvil后續(xù)操作突然關(guān)閉,其面向公眾的代表Unknown消失了。

在Unknown沒(méi)有回來(lái)之后,其余的REvil運(yùn)營(yíng)商在9月使用備份再次啟動(dòng)了操作和網(wǎng)站。(延伸閱讀:REvil正式同名復(fù)出,消失內(nèi)幕曝光)從那以后,勒索軟件業(yè)務(wù)一直在努力招募用戶,甚至將附屬公司的傭金提高到90%, 以吸引其他威脅行為者與他們合作。

由于這次最新的事故,其當(dāng)前REvil品牌可能會(huì)永遠(yuǎn)消失。然而,對(duì)于勒索軟件來(lái)說(shuō),沒(méi)有什么事會(huì)永遠(yuǎn)持續(xù)下去,很可能很快就會(huì)將重新更名再次上線。


 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2021-10

下一篇:個(gè)人信息法即將落地,大廠或?qū)o(wú)法進(jìn)行畫(huà)像營(yíng)銷?