近日,研究人员观察到勒索软件团伙REvil的部分基础设施已经恢复运行,并攻击了新的受害者——OhioRasterCorporation。REvil从公司窃取了员工个人信息、服务器密码、客户数据、银行账户信息、CAD格式的制造图纸和详细数据信息。9月14日,安全事务部报道称,勒索软件团伙卷土重来后,一名名为“REvil”的新代表在网络犯罪论坛上发帖称,在一名老代表涉嫌被捕后,其组织的服务器遭到入侵。它曾短暂关闭了两个月。回到9月7日,一些研究人员发现REvil勒索软件团伙的服务器重新上线,其Tor托管的支付/谈判网站和泄露的数据交易网站HaapyBlog都被重新访问。但当时,研究人员并不清楚REvil团伙是否恢复了运作,或者执法部门是否短暂地让他们的服务器上线了。此后不久,9月9日,有人将9月4日编译的REvil勒索软件新样本上传到VirusTotal,这导致研究人员确认REvil勒索软件团伙已恢复全面活动,并针对新的受害者和被盗文件进行披露。自7月13日起,REvil勒索软件团伙基础设施和网站无法访问,Tor泄密站点、支付网站“decoder[.]re”及其后台基础设施同步下线。此前,REvil勒索软件组织于7月2日攻击了IT服务提供商Kaseya基于云的MSP(托管服务提供商)平台,破坏了软件补丁和漏洞管理系统KaseyaVSA的基础设施,然后在本地启动VSA对服务器进行恶意更新尝试在公司网络上部署勒索软件。在影响kaseya的MSP及其客户后,该团伙索要价值7000万美元的比特币,用于解密所有受Kaseya供应链勒索软件攻击影响的系统,引起了媒体和警方的注意,随后,该团伙的服务器和业务被依法没收执法机构。参考链接:安全事务
