曾成功入侵多家知名大型企業和機構的REvil勒索軟件組織又卷土重來

在今年夏天，REvil勒索軟件大肆攻擊的三周內，聯邦調查局秘密扣留了可以解密多達1500個網絡上的數據和計算機的密鑰，其中包括醫院、學校和企業運營的網絡。

據《華盛頓郵報》報道，聯邦調查局已滲透REvil團伙的服務器并成功獲取了密鑰，但在與其他機構商量后，該局決定暫緩向受害者公開該密鑰，以免走漏風聲。知情人士告訴《華盛頓郵報》，聯邦調查局不想告發REvil團伙，并希望取締他們的業務。

結果出人意料的是，FBI還沒有介入，REvil就于7月13日宣布解體。由于尚未解釋的原因，聯邦調查局直到7月21日才交出了密鑰。

聯邦調查局局長Christopher Wray對國會的說辭是，“延緩釋放密鑰是共同協商的結果，而不是我們單方面的決定。這是一個非常復雜的決定，旨在盡可能發揮最大效用。而且對抗攻擊者確實需要時間，我們不僅需要在全國范圍內還需要在全世界范圍內調配資源。”

REvil勒索組織的那些年

 REvil組織在使用高壓策略勒索受害者方面有著悠久的歷史。這個位于俄羅斯的團伙于2019年首次出現，并在今年早些時候大放異彩。3月份，該組織入侵了一家代表U2、麥當娜和Lady Gaga的名人律師事務所，并索要2100萬美元。當該律師事務所猶豫不決時，REvil又將贖金要求增加了一倍，并公布了Lady Gaga的一些文件;4月份，該團伙又從中國臺灣制造商廣達電腦(Quanta Computer)獲取了大量機密圖紙和數以GB計的個人數據。廣達電腦為蘋果、戴爾、HPE、聯想、思科以及許多其他頂級科技公司代工。然后在5月份，它又針對Colonial Pipeline發起攻擊，導致燃料短缺。

該組織在今年夏天重新浮出水面，中斷了巴西肉類加工商JBS的運營，并導致美國、加拿大和澳大利亞的數家工廠關閉。之后，該組織又利用Kaseya遠程管理工具中的零日漏洞，該漏洞允許REvil訪問54家服務提供商(MSP)，這些提供商為多達 1500 家企業和其他組織管理網絡。

瑞典的連鎖店、馬里蘭州的市政廳、新西蘭的學校以及羅馬尼亞的一家醫院都受到了攻擊的影響。其中，瑞典雜貨連鎖店Coop關閉了大約700家商店，并花了大約6天時間才重新恢復運營。其他受害者也花了數周時間才恢復系統運行。

他們回來了

上周四，網絡安全公司Bitdefender發布了一種通用解密工具，用于解密REvil宣布解體前加密的網絡和計算機。Bitdefender的一位高管表示，到目前為止，約有250名受害者使用了該工具。據報道，使該工具成為可能的關鍵來自執法機構，但不是聯邦調查局。

據《華盛頓郵報》報道，盡管FBI努力將其取締，但REvil本月又卷土重來，發動了一系列新的攻擊，至少攻擊了8名新受害者。然而，Bitdefender工具不適用于新的受害者，這表明REvil在經歷短暫的解體后又重組了其運營策略。