在今年7月2日攻击美国托管软件供应商Kaseya的REvil勒索软件,本周二(7/13)忽然完全消失在网络上,不管是在明网或暗网中的官网、赎金协商网站、资料外泄网站或后端的基础设施,都在一夜之间无影无踪,而且是在美国与俄罗斯的政府高层准备讨论勒索软件议题的前夕,专门关注勒索软件的MalwareHunterTeam猜测,要不就是俄罗斯总统普京(Vladimir Putin)下令关闭REvil,不然就是美国黑进了REvil,也可能是REvil发现受到太多关注而自行关闭了。
安全情报企业Recorded Future的情报架构师Allan Liska通过Twitter表示,REvil的所有相关网站都在美东时间13日凌晨1点同退下线,仿若是REvil管理者Unknown走进办公室,下令将它们全部关闭一样,而那时正好是莫斯科早上8点之际。
另外,AdvIntel首席执行官Vitali Kremez则说,另一勒索软件集团LockBit在黑客论坛上宣称,是俄罗斯政府发出命令强制REvil关闭与移除所有的基础设施,并勒令它们消失。不过该传言未经证实。
REvil勒索软件集团针对Kaseya的攻击引起了美国白宫的注意,黑客入侵了本地部署的Kaseya VSA软件并发动勒索软件攻击,约有60家Kaseya VSA用户及1,500家下游厂商受到牵连,黑客还提出高达7,000万美元的赎金,以发布通用的解密工具,之后还自动降价至5,000万美元。
在全球肆虐的勒索软件攻击,让美国政府打算出面与俄罗斯政府协商,并已获得其它七大工业国组织(G7)的支持,特别是在安全企业相信不管是攻击美国最大燃油渠道系统Colonial Pipeline的DarkSide,或者是攻击全球最大肉品企业JBS美国子公司JBS USA的REvil,都源自俄罗斯黑客。美国总统拜登(Joe Biden)则说,他相信相关攻击与俄罗斯政府无关,但希望俄罗斯不要包庇黑客。
现身于2019年的REvil勒索软件被卡巴斯基列为2021年的前三大勒索软件,它的市场占有率为11%,仅次于Maze与Conti,今年以来的受害者包括宏碁、巴西最大医疗诊断企业Grupo Fleury、美国核武外承包商Sol Oriens、美国再生能源企业Invenergy,以及最新的Kaseya。
今年5月时,攻击Colonial Pipeline的DarkSide也突然在网络上失去了踪影,当时外界猜测可能是遭到政府的扣押,之后却没有任何政府机构发出声明,安全社群则推测,这些勒索软件集团很可能是因为来自执法机关的压力日益增加,而自行选择关门大吉。