对于一些害虫,你希望它们永远不会从打击中恢复过来。这简直好得令人难以置信,但我们还是可以抱有希望的。这就是其中之一。的REvil ransomware由于失去了对基于tor的域名的控制权,该公司今年已第二次关闭了它们的业务。

关闭1号

REvil第一次关闭是在2021年7月,当时该团伙成功实施了对托管服务提供商的供应链攻击Kaseya.在这一广泛传播的事件发生后不久,该团伙在网上的所有踪迹似乎都奇怪地从互联网上消失了。特别是,支付网站和数据泄露网站被关闭,受害者进行比特币支付和获得解密工具的基础设施也被关闭。

许多猜测随之而来,但没有明确的答案。一些人说,该组织已经与黑暗面组织联手,以“暗物质”的名义卷土重来,变得更加强大。另一些人则声称这是好人的胜利,他们几乎不顾一切地希望,全球各国政府采取的一些对策已经开始产生效果。凯赛亚袭击事件无疑在世界范围内产生了巨大影响,引起了国际执法部门对该组织的充分关注。

该组织自己的故事是,该组织的一名领导人关闭了服务器,并带着该组织的资金消失了,这使得他们无法支付许多分支机构的费用。

的回归

不幸的是,几个月后,REvil勒索软件团伙卷土重来,攻击新的受害者,并在一个数据泄露网站上发布窃取的文件。Tor支付和谈判网站也突然恢复了,所有先前受害者的计时器都重新设置到基础设施离线的那一天。

关闭2号

这一次,政府关门似乎是恶意收购的结果。本周,该团伙的支付门户网站Tor和数据泄露博客据称被劫持,该组织的一名发言人表示,服务器已被攻破。该威胁行动者在一个地下论坛上发帖称,该组织的洋葱网络服务被劫持,并指向不同的位置。

投机再次发挥作用。

据说,许多子公司仍在等待赔偿集团最后消失时遭受的损失。除此之外,还有传言称,勒索软件的开发者在他们的代码中隐藏了一个后门,这样他们就可以放弃他们的附属机构,直接向受害者提供解密密钥。

在我看来,这是没有意义的。但有可能存在一个密钥,可以解密多个,甚至是所有受害者的文件。它不会是第一次

不管怎样,如果想要继续合作,以秘密身份行动的网络罪犯都要依靠强大的信任基础。人们对REvil的信任似乎处于一个较低的水平,可能会完全消失,这取决于这种消失行为的结果。

torcc文件

在所有关于服务器接管的报告中都提到了torcc文件。这是一个保存Tor实例配置细节的文本文件。REvil的发言人声称,他们隐藏服务的路径被删除了,攻击者提高了他们自己的路径,希望他们能去那里。基本上,torcc文件中的隐藏服务是将。onion网站的访问者指向正确的服务器。要想修改该文件,需要很高的访问权限。

你觉得是谁干的?请在评论中告诉我们。我准备了一些选项,但显然您可以添加自己的选项。

选择1:愤怒的下属已经受够了。

选择二:这是内部作案,另一名管理人员带着钱逃离了现场。

选择3:执法部门关闭了行动,现在正在追查幕后黑手。

选择四:一个白帽黑客,出于安全考虑希望保持匿名。

选项5:这只是一个小故障,他们下周就会回来,可能会换一个名字。

选项六:前一组的领队听到他们卷土重来的消息并不开心。

如果你不是在猜测,但知道是事实,就眨眨眼。