臭名昭著的REvil勒索软件即服务(RAAS)组织,也被称为Sodinokibi,它对全球最大的肉类供应商JBS食品公司和IT服务公司Kaseya等公司发起了一系列备受瞩目的攻击。
然而,在执法机构于2021年10月将REvil下线后,其活动似乎已停止,据报道,俄罗斯今年早些时候逮捕了该团伙的14名成员。
因此,当大家看到与REvil具有讽刺意味的标题为“快乐博客”相关的新的勒索活动,失望是可以理解的。该组织在新的博客公布了其对企业与学校的黑客攻击和数据泄露的情况。
研究人员发现暗网上用于REvil泄密暗网站点的TOR地址现在正在重定向到一个新的网站,其中包含有关看似新攻击的信息。
被列为遭到黑客攻击的公司包括印度石油公司,该公司上周披露,它遭遇了安全漏洞,需要关闭其计算机系统。
REvil团伙发布的博客威胁称,除非印度石油公司愿意继续谈判,否则将开始发布其窃取的数据——包括合同、客户信息和消息聊天记录。
该博客网页上列出的大多数其他受害者都与过去的REvil勒索软件攻击有关。
同时,一个用俄语编写的“加入我们”页面解释了犯罪分子如何请求成为会员,提供诸如“相同经过验证(但改进)的软件”和收取80/20比例分成赎金等好处。
当然,有些人可能比平常更警惕成为勒索软件的附属机构——鉴于过去发现的证据表明,REvil对诈骗其网络犯罪同伴毫无顾虑。
那么,这一最新进展是否证明REvil集团重新开始运作,或者一个新的勒索软件即服务的组织以某种方式控制了REvil的旧网站并将其指向他们自己的网页?
或者这个新站点有可能作为一个蜜罐运行,试图收集有关那些有兴趣成为勒索软件附属机构的信息,为执法机构收集情报?
目前还没有明确的答案,而且这些页面本身也没有提供太多线索——没有就他们可能是谁在背后运营做出任何声明。
可以肯定的是,当涉及到保护自己免受攻击时,任何企业都不应该安于现状,现在就采取防护措施,减少成为下一个勒索软件攻击受害者的机会。