REvil是国际上名气最大的勒索软件团伙之一,今年6月在成功勒索了全球最大的牛肉供应商JBS 1100万美元赎金后,又于7月2日攻击勒索了基于Kaseya云的 MSP 平台,勒索金额高达7000万美元,之后不久于7月13日突然关闭所有服务器神秘消失。

自2019年以来,REvil发起的攻击影响到了世界各地约800~1500家企业和组织,但避开了以俄语和其他前苏联国家语言作为系统语言的企业和组织。REvil也因此被怀疑有俄罗斯背景,但也有可能只是REvil不想招致俄罗斯的针对或者是想混淆视听。

美国曾要求俄罗斯管束一下勒索软件团伙,否则他们自己会采取必要的手段,所以也有人怀疑REvil要么是被拆除要么是迫于压力主动解散。

但照现在的情况来看,很多之前的猜测都被推翻了。9月9日,有人在REvil泄露数据的网站上发现了勒索软件团伙发布的新受害者被盗数据截图。REvil勒索软件团伙是直接以REvil这个名字复活了,而不是如其他多数黑客组织一般先解散减少政府关注,再重组以新的身份复活。

REvil原先负责对外联系的代表叫做“Unknown”或者“UNKWN”,Revil复活后一名叫做“REvil”的新代表在黑客论坛发帖解释了事情的经过:

帖子的大致意思如下:

“Unknown”他消失时,他们备份并关闭了所有服务器。他们曾试图想办法联系他,但失败了,等待了一段时间他也没有再出现,他们认为“Unknow”是被捕了。

之后他们恢复了服务器,但服务器遭受入侵,所以他们再度关闭了服务器。

另外,在他们消失后,提供给联系不到他们的受害者的Kaseya解密器据称是执法部门泄露的,事实上是他们的一个成员泄露的。

对于REvil这一段时间的消失,一个REvil成员声称他们只是休息了一会儿。

但这些都是REvil的一面之词,具体真相如何我们不得而知。能够知道的是,这个恶迹昭著的勒索软件团伙确实是打算重新开张了,不知又会有多少企业遭受损失。