[[423862]]

最近，研究人員觀察到，勒索軟件團(tuán)伙REvil部分基礎(chǔ)設(shè)施重新啟動(dòng)并運(yùn)行，并襲擊了新的受害者俄亥俄州光柵公司。

REvil從該公司竊取了員工個(gè)人信息、服務(wù)器密碼、客戶數(shù)據(jù)、銀行賬戶信息、CAD格式的制造圖紙和詳細(xì)的數(shù)據(jù)信息等。

9月14日，據(jù)security affairs報(bào)道，該勒索軟件團(tuán)伙回歸后，一位名為“REvil”的新代表在網(wǎng)絡(luò)犯罪論壇上發(fā)貼稱，在老代表疑似被逮捕后，其組織服務(wù)器被入侵，短暫關(guān)閉了兩個(gè)月。

早在9月7日，就有許多研究人員發(fā)現(xiàn)，REvil 勒索軟件團(tuán)伙的服務(wù)器重新上線，其托管在Tor的支付/談判網(wǎng)站和泄露數(shù)據(jù)交易網(wǎng)站 "快樂(lè)博客 "(Haapy Blog)都可以重新訪問(wèn)。但當(dāng)時(shí)研究人員尚不清楚REvil團(tuán)伙是否恢復(fù)運(yùn)營(yíng)，還是執(zhí)法部門將其服務(wù)器短暫上線。

在不久之后的9月9日，有人將9月4日編譯的新 REvil勒索軟件樣本上傳到了VirusTotal上，此舉令研究人員確認(rèn)REvil勒索軟件團(tuán)伙已經(jīng)全面恢復(fù)活動(dòng)，該團(tuán)伙正在瞄準(zhǔn)新受害者并泄露被盜文件。

自7月13日起，REvil 勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施和網(wǎng)站開始無(wú)法訪問(wèn)，Tor 泄漏站點(diǎn)、支付網(wǎng)站“decoder[.]re”及其后端基礎(chǔ)設(shè)施同時(shí)下線。

此前，REvil勒索軟件團(tuán)在7月2日襲擊了IT服務(wù)提供商Kaseya基于云的MSP(托管服務(wù)提供商)平臺(tái)， 破壞了軟件補(bǔ)丁和漏洞管理系統(tǒng) Kaseya VSA的基礎(chǔ)設(shè)施，之后推出了VSA內(nèi)部部署服務(wù)器的惡意更新，以求在企業(yè)網(wǎng)絡(luò)上部署勒索軟件。

在對(duì)kasesy的MSP及其客戶造成影響后，該組織要求提供價(jià)值7000萬(wàn)美元的比特幣，來(lái)解密所有受Kaseya供應(yīng)鏈勒索軟件攻擊影響的系統(tǒng) ，此次襲擊引起了媒體和警察當(dāng)局的注意，隨后該團(tuán)伙的服務(wù)器及業(yè)務(wù)被執(zhí)法部門查封。

參考鏈接：Security Affairs