曾成功入侵多家知名大型企业和机构的REvil勒索软件组织又卷土重来

在今年夏天，REvil勒索软件大肆攻击的三周内，联邦调查局秘密扣留了可以解密多达1500个网络上的数据和计算机的密钥，其中包括医院、学校和企业运营的网络。

据《华盛顿邮报》报道，联邦调查局已渗透REvil团伙的服务器并成功获取了密钥，但在与其他机构商量后，该局决定暂缓向受害者公开该密钥，以免走漏风声。知情人士告诉《华盛顿邮报》，联邦调查局不想告发REvil团伙，并希望取缔他们的业务。

结果出人意料的是，FBI还没有介入，REvil就于7月13日宣布解体。由于尚未解释的原因，联邦调查局直到7月21日才交出了密钥。

联邦调查局局长Christopher Wray对国会的说辞是，“延缓释放密钥是共同协商的结果，而不是我们单方面的决定。这是一个非常复杂的决定，旨在尽可能发挥最大效用。而且对抗攻击者确实需要时间，我们不仅需要在全国范围内还需要在全世界范围内调配资源。”

REvil勒索组织的那些年

 REvil组织在使用高压策略勒索受害者方面有着悠久的历史。这个位于俄罗斯的团伙于2019年首次出现，并在今年早些时候大放异彩。3月份，该组织入侵了一家代表U2、麦当娜和Lady Gaga的名人律师事务所，并索要2100万美元。当该律师事务所犹豫不决时，REvil又将赎金要求增加了一倍，并公布了Lady Gaga的一些文件;4月份，该团伙又从中国台湾制造商广达电脑(Quanta Computer)获取了大量机密图纸和数以GB计的个人数据。广达电脑为苹果、戴尔、HPE、联想、思科以及许多其他顶级科技公司代工。然后在5月份，它又针对Colonial Pipeline发起攻击，导致燃料短缺。

该组织在今年夏天重新浮出水面，中断了巴西肉类加工商JBS的运营，并导致美国、加拿大和澳大利亚的数家工厂关闭。之后，该组织又利用Kaseya远程管理工具中的零日漏洞，该漏洞允许REvil访问54家服务提供商(MSP)，这些提供商为多达 1500 家企业和其他组织管理网络。

瑞典的连锁店、马里兰州的市政厅、新西兰的学校以及罗马尼亚的一家医院都受到了攻击的影响。其中，瑞典杂货连锁店Coop关闭了大约700家商店，并花了大约6天时间才重新恢复运营。其他受害者也花了数周时间才恢复系统运行。

他们回来了

上周四，网络安全公司Bitdefender发布了一种通用解密工具，用于解密REvil宣布解体前加密的网络和计算机。Bitdefender的一位高管表示，到目前为止，约有250名受害者使用了该工具。据报道，使该工具成为可能的关键来自执法机构，但不是联邦调查局。

据《华盛顿邮报》报道，尽管FBI努力将其取缔，但REvil本月又卷土重来，发动了一系列新的攻击，至少攻击了8名新受害者。然而，Bitdefender工具不适用于新的受害者，这表明REvil在经历短暂的解体后又重组了其运营策略。