9月8日,多位研究人员注意到,REvil勒索团伙服务器在关闭约两个月后恢复上线。REvil勒索软件团伙的黑暗网站(也称为HappyBlog)已恢复在线,但其网站decoder[.]re仍处于离线状态。目前尚不清楚REvil是否恢复了运营,也不清楚执法部门(FBI)是否暂时将其服务器和网站上线。快乐BlogREvil回来了?当天,REvil的Tor支付/协商网站和泄露数据交易网站“HappyBlog”突然恢复上线。在快乐博客上,最新记录的受害者是从2021年7月8日开始的。而且Tor支付/协商网站似乎只恢复了部分,虽然它显示了登录屏幕,但它不允许受害者登录该网站。Tor支付/谈判网站尚不清楚REvil是由于大规模Kaseya勒索软件攻击后执法部门的压力而关闭,还是被执法部门没收。REvil勒索软件团伙,又名Sodinokibi。7月2日,REvil利用Kaseya的VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP)和1,500多家企业客户进行了加密。起初,REvil要求MSP支付500万美元以换取解密器,或者每家企业支付44,999美元用于加密扩展。随后,该团伙开出7000万美元的一揽子价格,用加密数据解密所有业务,随后又将赎金价格下调至5000万美元。袭击发生后,REvil面临来自执法部门和白宫的双重压力。白宫已对REvil组织者所在位置施压,警告称如果俄罗斯不对REvil勒索软件团伙采取行动,美国将自行采取行动。不久之后,REvil勒索软件团伙从网络上消失,他们所有的Tor服务器和基础设施都被关闭。从7月13日开始,REvil勒索团伙使用的基础设施和网站都无法访问,包括Tor网站、支付网站、解码器[.]re和后台基础设施都同时下线。
