勒索軟體REvil在網路上消失了

在今年7月2日攻擊美國託管軟體供應商Kaseya的REvil勒索軟體，本周二（7/13）忽然完全消失在網路上，不管是在明網或暗網中的官網、贖金協商網站、資料外洩網站或後端的基礎設施，都在一夕之間無影無蹤，而且是在美國與俄羅斯的政府高層準備討論勒索軟體議題的前夕，專門追蹤勒索軟體的MalwareHunterTeam猜測，要不就是俄羅斯總統普丁（Vladimir Putin）下令關閉REvil，不然就是美國駭進了REvil，也可能是REvil察覺受到太多關注而自行關閉了。

安全情報業者Recorded Future的情報架構師Allan Liska透過Twitter表示，REvil的所有相關網站都在美東時間13日凌晨1點同步下線，彷若是REvil管理者Unknown走進辦公室，下令將它們全部關閉一樣，而那時正好是莫斯科早上8點之際。

另外，AdvIntel執行長Vitali Kremez則說，另一勒索軟體集團LockBit在駭客論壇上宣稱，是俄羅斯政府發出命令強制REvil關閉與移除所有的基礎設施，並勒令它們消失。不過此一傳言未經證實。

REvil勒索軟體集團針對Kaseya的攻擊引起了美國白宮的注意，駭客入侵了就地部署的Kaseya VSA軟體並發動勒索軟體攻擊，約有60家Kaseya VSA用戶及1,500家下游廠商受到牽連，駭客還提出高達7,000萬美元的贖金，以釋出通用的解密工具，之後還自動降價至5,000萬美元。

在全球肆虐的勒索軟體攻擊，讓美國政府打算出面與俄羅斯政府協商，並已獲得其它七大工業國組織（G7）的支持，特別是在資安業者相信不管是攻擊美國最大燃油管道系統Colonial Pipeline的DarkSide，或者是攻擊全球最大肉品業者JBS美國子公司JBS USA的REvil，都源自俄羅斯駭客。美國總統拜登（Joe Biden）則說，他相信相關攻擊與俄羅斯政府無關，但希望俄羅斯不要包庇駭客。

現身於2019年的REvil勒索軟體被卡巴斯基列為2021年的前三大勒索軟體，它的市占率為11%，僅次於Maze與Conti，今年以來的受害者包括宏碁、巴西最大醫療診斷業者Grupo Fleury、美國核武外包商Sol Oriens、美國再生能源業者Invenergy，以及最新的Kaseya。

今年5月時，攻擊Colonial Pipeline的DarkSide也突然在網路上失去了蹤影，當時外界猜測可能是遭到政府的扣押，之後卻沒有任何政府機構發出聲明，資安社群則推測，這些勒索軟體集團很可能是因為來自執法機關的壓力日益增加，而自行選擇關門大吉。