REvil

根据美国司法部的消息，一名乌克兰公民今天被判处13年零7个月监禁，并被责令支付超过1600万美元的赔偿金，原因是“他参与了2500多次勒索软件攻击，且要求支付超过7亿美元的赎金”。 美国司法部长梅里克·B·加兰（Merrick B. Garland）说：“正如本次判决所表明的那样，司法部正在与我们的国际合作伙伴合作，并利用我们掌握的所有工具来识别网络犯罪分子，扣押他们的非法利润，并追究他们的刑事犯罪责任。” “被告通过部署REvil勒索软件变种，向全球各地的美国受害者索要了数亿美元，”司法部副部长丽莎·莫纳科 (Lisa Monaco) 表示， “但这起案件表明，美国司法部的影响力也是全球性的——通过与我们的国际合作伙伴合作，我们正在将那些以美国受害者为目标的人绳之以法，我们正在破坏更广泛的网络犯罪生态系统。” 联邦调查局局长克里斯托弗·雷 (Christopher Wray) 表示：“今天，联邦调查局与我们全球合作伙伴的密切合作，再次确保了一个自以为我们无法触及的网络犯罪分子面对他的行为所带来的后果。” “我们将继续不懈地追捕像 Vasinksyi 这样的网络犯罪分子，无论他们藏身何处，同时我们会破坏他们的犯罪计划，没收他们的资金和基础设施，并在法律的最大范围内打击他们的帮凶和犯罪同伙。” 根据法庭文件，24岁的雅罗斯拉夫·瓦辛斯基（Yaroslav Vasinskyi，又名Rabotnik）使用名为Sodinokibi/REvil的勒索软件变种进行了数千次勒索软件攻击。 勒索软件是一种恶意软件，旨在加密受害者计算机上的数据，使恶意行为者能够要求受害者支付赎金以换取解密密钥。 同谋者要求以加密货币支付赎金，并使用加密货币兑换商和混合服务来隐藏他们的不义之财。 为了提高赎金要求，Sodinokibi/REvil 的同谋还会在受害者不支付赎金要求时公开暴露受害者的数据。 “雅罗斯拉夫·瓦辛斯基（Yaroslav Vasinskyi）和他的同谋侵入了世界各地数千台计算机，并用勒索软件对它们进行了加密，”司法部刑事司司长、总检察长首席副助理妮可·M·阿根蒂耶里（Nicole M. Argentieri）说， “然后他们要求支付超过7亿美元的赎金，并威胁如果受害者拒绝支付，将公开披露受害者的数据。 尽管共谋者试图通过洗钱来掩盖自己的踪迹，但Vasinskyi无法逃避执法部门。 今天对Vasinskyi的判决应该提醒世界各地的勒索软件参与者：我们将追踪你并将你绳之以法。” 德克萨斯州北区联邦检察官莱格哈·西蒙顿（Leigha Simonton）表示：“使用勒索软件，来自世界各地的恶意行为者可以在几分钟内使美国公司陷入瘫痪。” “但是，当网络犯罪分子联手部署这些攻击时，美国各地的执法部门随时准备摧毁他们的犯罪团伙。来自得克萨斯州北区的尽职尽责的检察官和联邦调查局达拉斯分局技术娴熟的特工今天再次向世界各地的勒索软件行为者证明了这一点： 当你攻击美国境内的目标时，司法部及其合作伙伴将对你穷追不舍。” Vasinskyi此前在德克萨斯州北区法院承认了一项11项罪名的起诉，指控他共谋实施欺诈和与计算机有关的相关活动、破坏受保护的计算机以及共谋实施洗钱。他此前被从波兰引渡到美国。 与此相关的是，2023年，美国司法部最终没收了通过两起相关民事没收案件获得的价值数百万美元的赎金，其中包括39.89138522比特币和610万美元的美元资金，可追溯到据称该阴谋的其他成员收到的赎金。 联邦调查局对此案进行了调查。 刑事部计算机犯罪和知识产权科高级顾问 Frank Lin 和德克萨斯州北区联邦助理检察官 Tiffany H. Eggers 起诉了此案。德克萨斯州北区联邦助理检察官迪米特里-罗查 (Dimitri N. Rocha) 协助处理了相关的民事没收案件。 去年，司法部国际事务办公室与波兰当局合作，确保了Vasinskyi的引渡。

REvil勒索软件团伙声称对中国电器制造商美的集团发起了黑客攻击，并且已经在暗网里发布了据信是被盗的数据。 曾经占暗网勒索主导地位的REvil勒索软件团伙，有时被称为Sodinokibi，在2021年对Kaseya进行臭名昭著的黑客攻击后关闭了几个月，于2022年4月重新出现。 美的集团是REvil自今年早些时候重新出现以来首批备受瞩目的受害者之一，尽管尚未正式确认此次攻击的真实性。 美的集团几乎遍布全球，他们的空调，包括冰箱、洗衣机和微波炉在内的家用电器几乎可以在世界上每家商店找到。 这家价值数十亿美元的中国公司自称是世界第一大家电制造商，并与全球组织和体育俱乐部（如曼城足球俱乐部和科林蒂安）有广泛的商业合作。 该公司声称其年均收入为533亿美元，在《财富》全球500强排行榜上位列第245位。 REvil声称从美的集团窃取了各种不同的数据，包括其产品生命周期管理（PLM）系统——含有蓝图和固件源码，以及“其准备出售”的财务信息，它在一个公告帖子中说。 它还声称拥有“大量源代码”和来自Git和SVN版本控制系统的数据，“这些数据[它]将很快公布”。 从REvil的暗网博客中可以看到，其窃取了相当多的内部数据。根据该勒索软件团伙发布的屏幕截图，美的集团被盗的数据远多于3.09TB。 REvil已经在暗网上发布了大量据称取自美的集团的文件，其中包括对物理和数字身份文件的扫描、据称该公司VMwarev Sphere客户端内部的屏幕截图、大量压缩的7zip存档和SSH密钥。 REvil因采用双重勒索模式进行勒索行动而闻名，出售数据的威胁，虽然似乎已经解除了一些，但与该团伙的旧方法一致。虽然他们以一贯的方式威胁说，如果不支付赎金，就会出售数据，但数据已经在同一时间被公布。 在4月重新出现后，REvil表示，它的另一个受害者印度石油公司拒绝与其谈判，导致该公司的被盗数据被泄露。 勒索组织REvil来自俄罗斯，以对Kaseya和JBS Foods等大公司的历史性攻击而闻名，但作为2021年11月国际执法协调行动的一部分，该集团的部分成员被逮捕。 俄罗斯执法部门还在2022年1月逮捕了更多被指控的成员，尽管一些人认为这样做可能是为了作为反对美国的政治筹码。 俄罗斯执法部门FSB称，他们设法完全关闭了REvil活动并逮捕了所有14名剩余成员，FSB曾表示“犯罪组织不再存在，其用于犯罪目的的基础设施已被摧毁”。 但是知名恶意软件研究和安全分析专家VX-Underground（@vxunderground）在昨天发布的Twitter帖子中称： 较低级别的分支机构和附属成员被逮捕，而不是主要成员。被捕的人被指控犯有轻罪，处以小额罚款，然后被释放。 Lower-level affiliates and money mules were arrested, not key members. The individuals arrested were charged with minor crimes, issued small fines, and released. — vx-underground (@vxunderground) September 1, 2022 REvil在暗网博客上（http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog）发布的公告内容如下： 美的集团是一家中国电器制造商，总部位于广东佛山顺德区北滘镇，在深圳证券交易所上市。截至2021年，该公司在中国和海外拥有约150,000名员工，拥有200个子公司和60多个海外分支机构。收入400亿以上，美的集团由五个战略业务支柱组成：智能家居、工业技术、建筑技术、机器人与自动化和数字创新。美的集团在200多个国家和地区拥有超过16万名员工，在2022年全球财富500强排行榜上排名第245位。 我们有来自plm系统的所有数据（蓝图、固件的来源等），也有我们准备出售的财务信息。 大量的源代码，git和svn，将很快发布。 并将入侵的部分截图、压缩包证据发布在：http://ttn4gqpgvyy6tuezexxhwiukmm2t6zzawj6p3w3jprve36f43zxr24qd.onion/Midea/

臭名昭著的勒索软件团伙REvil卷土重来的证据已经出现在暗网上，原先的REvil团伙的暗网网站已经跳转至一个新的暗网博客，并详细介绍了三个新受害者：美国斯坦福德大学（Stratford University）、另一家印度公司——标牌制造商VisotecGroup（Visotec Group www.visotec.com）和石油公司Oil India（www.oil-india.com），当然，之前的老的受害者信息在博客里依旧存在。 外界猜测源自俄罗斯的REvil勒索软体团伙，在2021年7月攻击Kaseya VSA软体用户后，因惊动白宫甚至俄国政府，选择消失以避风头并关闭了暗网站点；2021年9月，REvil用来展示入侵成果、展示盗取资料的Happy Blog网站又出现在暗网中；2021年10月，在暗网站点被劫持后，REvil选择再次关闭；2022年1月，REvil的许多团伙成员被俄罗斯联邦安全局逮捕。 那么，勒索软件团伙REvil真的又回来了吗？经过对REvil暗网网站的分析，“暗网下/AWX”认为REvil确实是已经卷土重来，而应该不是俄罗斯联邦安全局的钓鱼操作。 REvil之前的暗网网站的V3域名为： http://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion REvil新跳转的暗网网站的V3域名为： http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog REvil真的回归了吗？ REvil被认为是过去一年活跃在暗网上的最具侵略性和最多产的勒索软件即服务团伙之一。这个网络犯罪团伙开发和部署了Sodinokibi恶意软件，并声称在7月对管理服务提供商Kaseya的供应链攻击中立下汗马功劳，该攻击影响了与该公司合作的多达1500家企业。据报道，该团伙还对全球肉类供应商JBS的袭击负责，并要求支付1100万美元的赎金。 俄罗斯安全机构FSB表示，它在1月份的一次打击行动中逮捕了该组织的一些关键人员，但REvil在暗网上发布受害者信息的页面现在已经重新启动。这个曾被称为“Happy Blog”的网站已经更新，链接到跳转到另一个显示该团伙许多受害者的网站“Blog”，其中至少增加了三个新的受害者。 其中一个是美国斯坦福德大学，网站声称有大约60G的文件，包括财务报告、学生的护照和社会号码、工作人员的数据和许多其他重要信息，并在页面公布了一些内部图片；还有一个是Visotec集团，该公司没有公开披露是否受到攻击；还有一个是印度石油公司，该公司在4月10日遭受了一个不知名的团伙的勒索软件攻击，要求赔偿790万美元。 该网站指出，印度石油公司已不再就支付赎金进行谈判，该网站还收录了该公司的一些内部文件。 该网站还增加了一个俄语招聘页面，承诺愿意加入的黑客将获得80/20的赎金分成。该网站似乎还在兜售与该团伙在被FSB取缔前使用的类似赎金软件。 REvil复活的幕后黑手是谁？ Orange Cyberdefense的首席安全研究员Diana Selck-Paulsson表示，到目前为止，尚不清楚REvil明显回归的幕后黑手是谁。“今天的网络勒索组织消失并以其他形式重新出现或重新命名的情况并不少见，”她说，“有趣的是，该网站正在被重新使用，REvil的老受害者和新受害者都显示在那里。造成这种情况的一个原因可能是有人试图使用REvil的声誉或‘品牌’而不与原始组织建立联系。” 安全公司Digital Shadows的高级网络威胁情报分析师Chris Morgan表示，另一种解释可能是，FSB正在利用REvil的博客作为引诱其他网络犯罪分子的陷阱。“目前尚不清楚与REvil相关的基础设施重启是否代表真正的活动回归，”Morgan说，“有些人认为，回归可能是由俄罗斯执法部门促成的，以诱捕REvil前行动的其他成员，然而，由于新的受害者和敏感信息已经发布到该网站，这似乎不太可能。” Morgan说，无论REvil的回归是否真实，它的重新出现都不会受到更广泛的勒索软件社区的欢迎。一月份的逮捕行动意味着该组织将被怀疑。“网络犯罪社区的初步评论反映了这一点，他们表示即使返回是由REvil的原始成员协调，他们也会不信任。”他说。

网络安全公司Trustwave发现，1月14日俄罗斯联邦安全局（FSB）对REvil勒索软件团伙的打击在地下犯罪网络中引起了恐惧和焦虑。在分析了地下论坛上的暗网聊天记录后，Trustwave发现网络犯罪分子认为他们最终可能会逮捕入狱并考虑从俄罗斯搬迁至其他国家。 俄罗斯国内安全部门表示，此次行动是应美国当局的要求，以应对源自该国的勒索软件攻击。 俄罗斯联邦安全局表示，在拘留了14名REvil勒索软件团伙成员后，他们还缴获了4.26亿卢布（约合560万美元）、60万美元、50万欧元和20辆豪华汽车。 暗网聊天记录证实了对俄罗斯联邦安全局与美国潜在合作的焦虑 俄罗斯政府与美国之间的潜在合作增加了地下圈子的焦虑。Trustwave SpiderLabs援引一位地下黑客论坛成员的话说，他担心服刑。 “这是一个很大的变化，”他说，“我不想坐牢。” 据Trustwave SpiderLabs称，地下论坛的成员认为他们的国家不再是避风港，并担心被逮捕。一些人建议将他们的勒索软件业务转移到印度、中国、中东或以色列。 这些担忧证实，勒索软件团伙将俄罗斯视为其犯罪活动的庇护所。然而，离开俄罗斯只会更加增加他们被捕和被引渡到美国的机会。 另一名成员警告其他人，联邦调查局正在通过莫斯科和圣彼得堡的货币兑换商瞄准勒索软件集团，“所有在莫斯科或圣彼得堡兑换的人都会停下来，联邦调查局在莫斯科。通过货币兑换商，勤劳工作的勒索软件团伙成员会被覆盖（捕获）。” 他们担心货币兑换商与执法部门合作并在审讯期间提供信息。 暗网聊天的一名参与者提出了俄罗斯联邦安全局和联邦调查局之间为打击勒索软件进行秘密谈判的怀疑。另一个人警告说，依赖国家保护的勒索软件运营者会感到震惊。 “事实上，有一点很清楚，那些期望国家保护他们的人会大失所望。”他说。 暗网聊天记录还表明，地下黑客组织成员对论坛管理员的背叛感到忧虑。他们怀疑一位管理员与执法当局合作，并参与了逮捕行动。 他承诺分享他与一名成员的对话，这名成员“消失得无影无踪，很可能是由于一个绰号为RED \ KAJIT的人，他是ramp论坛的管理员，为执法部门工作，反对普通辛勤勒索劳动者。” 论坛管理员可以访问会员信息，并可以与执法机构分享这些信息，作为认罪协议的一部分，或用于经济奖励等激励措施。 Trustware分析了一名成员的对话，该对话在2021年11月预测两个月内会有逮捕行动。 但是，有些人认为他们可以避免被捕并继续进行勒索软件活动。如果俄罗斯联邦安全局与美国当局合作，一位成员提供了几种逃避执法的解决方案。他建议使用Tor进行匿名，将被盗的数字资产存储在不同的计算机上，并使用加密技术。 此外，他建议网络犯罪分子避免不必要的暗网聊天，并补充说“现在在任何地方写任何东西都是危险的。” 他还警告说，在莫斯科和圣彼得堡，闭路电视摄像机随处可见，这对参与实际提取勒索资金的网络犯罪分子来说是一个巨大的安全风险。 其他参与暗网聊天的人指责REvil勒索软件组织通过攻击美国等强大国家的数十亿组织并吹嘘来吸引注意力。 一位成员指出，“在我们的行业中成为超级明星是一个非常糟糕的想法。” “在攻击和加密价值数十亿美元的公司、学校、州之前，有必要考虑一下，”他说，“他们敢跟谁比？” 俄罗斯联邦安全局对REvil勒索软件的行动很可能是从乌克兰转移注意力 Trustwave质疑俄罗斯FSB在打击勒索软件威胁方面的承诺。一个地下论坛的成员在暗网聊天中也表达了类似的观点，认为该行动是一场旨在供国际消费的表演。REvil勒索软件团伙被认为是网络犯罪中唾手可得的果实和跛脚鸭，因为其自愿决定缩减运营规模，并成功采取了执法行动。 逮捕REvil可能有助于俄罗斯联邦安全局转移人们对乌克兰边境正在酝酿的危机的注意力，并避免受到美国的更多制裁。因此，许多西方专家仍然怀疑逮捕最终会导致起诉或开启俄罗斯联邦安全局与国际安全部门之间合作的新篇章。

根据欧洲刑警组织官方网站消息，11月4日，罗马尼亚当局逮捕了两名涉嫌部署Sodinokibi/REvil勒索软件的网络攻击者。据称，他们对5000次感染负责，总共勒索了500万欧元的赎金。自2021年2月以来，执法当局已经逮捕了Sodinokibi/REvil的其他三个分支机构和两个与GandCrab有关的嫌疑人。这些是GoldDust行动的部分结果，该行动由17个国家、欧洲刑警组织、欧洲司法组织和国际刑警组织共同开展。所有这些逮捕行动都是在国际联合执法工作之后进行的，包括识别、窃听和扣押Sodinokibi/REvil勒索软件家族使用的一些基础设施，该家族被视为GandCrab的继承者。 欧洲成立反REvil团队 自2019年以来，多家大型国际公司面临严重的网络攻击，这些攻击部署了Sodinokibi/REvil勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于2021年5月成立了一个联合调查小组，加强了针对该勒索软件的行动。Bitdefender与执法部门合作，在No More Ransom网站上提供了一个工具，可以帮助Sodinokibi/REvil的受害者恢复他们的文件，只要是2021年7月前的攻击。10月初，在美国发出国际逮捕令后，Sodinokibi/REvil的一个分支机构在波兰边境被捕。这名乌克兰人被怀疑实施了Kaseya攻击，该攻击影响了多达1500家下游企业，Sodinokibi/REvil向其索要约7000万欧元的赎金。此外，2021年2月、4月和10月，韩国当局逮捕了涉及GandCrab和Sodinokibi/REvil勒索软件家族的三名关联方，涉及超过1500多名受害者。11月4日，科威特当局逮捕了另一名GandGrab关联公司，这意味着自2021年2月以来，共有7名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约7000名受害者。 Golddust与GandCrab的联系 自2018年以来，欧洲刑警组织一直支持一项由罗马尼亚牵头的调查，该调查针对GandCrab勒索软件家族，并涉及英国和美国等多个国家的执法部门。GandCrab是全球最多产的勒索软件家族之一，全球有超过100万受害者。这些联合执法努力的结果是，通过No More Ransom项目发布了三种解密工具，迄今已挽救了49000多个系统和避免了超过6000万欧元的未付赎金。调查还着眼于GandCrab的附属机构，其中一些被认为已经转向Sodinokibi/REvil。GoldDust行动也是根据之前针对GandCrab的这一调查线索建立起来的。 无需赎金即可解密 事实证明，网络安全公司、部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要，勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过No More Ransom网站为多个勒索软件家族提供了解密工具。Bitdefender积极支持这项调查，在整个调查过程中提供了关键的技术见解，同时为这两个高产的勒索软件家族提供解密工具，帮助受害者恢复他们的文件。KPN和McAfee Enterprises是另外给予支持的合作伙伴，他们也通过向执法部门提供技术专业知识来支持此次调查。 目前，No More Ransom拥有GandCrab（V1、V4和V5到V5.2版本）和Sodinokibi/REvil的解密工具。Sodinokibi/REvil解密工具帮助1400多家公司解密了他们的网络，为他们节省了近4.75亿欧元的潜在损失。为这两个勒索软件家族提供的工具实现了50000多次解密，网络犯罪分子为此要求支付约5.2亿欧元的赎金。 欧洲刑警组织的支持 欧洲刑警组织促进了信息交流，支持了GoldDust行动的协调，并提供了业务作分析支持，以及加密货币、恶意软件和取证分析。在行动日期间，欧洲刑警组织向每个地点部署了专家，并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为Sodinokibi/REvil勒索软件的受害者。 欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)支持了这次行动。这个常设小组由来自不同国家的网络联络官组成，他们在同一个办公室开展备受瞩目的网络犯罪调查。 *参与国家：澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国 *参与组织：欧洲刑警组织、欧洲司法组织和国际刑警组织

REvil是臭名昭著的俄罗斯关联勒索软件团伙，据称对今年早些时候对Kaseya、Travelex和JBS的高调网络攻击负责。 在一个不知名的人劫持了他们的Tor支付门户和数据泄露博客之后，REvil勒索软件行动很可能再次关闭。 Tor站点今天早些时候下线，一名隶属于REvil行动的威胁行为者在XSS黑客论坛上发帖称，有人劫持了该团伙的域名。 该劫持首先由Recorded Future的Dmitry Smilyanets发现，并指出一个不知名的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务（洋葱域名），并且可能拥有这些站点的备份。 “但是自从今天莫斯科时间12点至17点10分，有人用和我们的密钥相同的密钥提出了登陆和博客的隐藏服务，我们的担心得到了证实，第三方有我们洋葱服务密钥的备份。“一个被称为“0_neday”的威胁行为者在黑客论坛上发帖。 该威胁行为者继续说，他们没有发现其服务器被破坏的迹象，但将关闭该行动。 然后，威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥，这样附属机构就可以继续勒索受害者并在支付赎金时提供解密器。 要启动Tor隐藏服务（.onion域），您需要生成一个私钥和公钥对，用于初始化服务。 私钥必须是安全的，并且只有受信任的管理员才能访问，因为任何有权访问此密钥的人都可以用它在自己的服务器上启动相同的.onion服务。 由于第三方能够劫持这些域名，这意味着他们也可以访问隐藏服务的私钥。 今天晚上，0_neday再次在黑客论坛主题上发帖，但这次说他们的服务器被入侵了，无论是谁做的，都是针对威胁者的。 目前，尚不清楚是谁入侵了他们的服务器。 由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器，一些威胁行为者认为FBI或其他执法部门自其重新启动以来就可以访问服务器。 由于没有人知道发生了什么，也有可能是威胁行为者试图重新获得对行动的控制。 REvil可能会永久关闭 在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后，REvil的运营突然关闭，他们面向公众的代表Unknown消失了。 在Unknown没有回来之后，REvil的其他操作者在9月利用备份再次启动了操作和网站。 从那以后，勒索软件业务一直在努力招募用户，甚至将联盟的佣金提高到90%，以吸引其他威胁者与他们合作。 由于这次最新的事故，目前论坛上的行动很可能将永远消失。 然而，对于勒索软件来说，没有什么好事会永远持续下去，他们很可能很快就会将它们重新命名为一项新业务。

2017年10月25日，在俄罗斯莫斯科的Global Cyber​​ Security Company Group-IB办公室的显示器上可以看到计算机代码。 一位高级官员周二表示，拜登政府并不清楚为什么被认为总部设在俄罗斯的勒索软件团伙REvil从暗网上消失了。 这位政府官员补充说，但美国将继续对REvil等犯罪团伙以及俄罗斯等对这些团伙活动区域负责的政府施加压力。 拜登政府官员在接受POLITICO采访时发表的评论最清楚地表明，美国在最近几天取缔REvil的网站和其他在线基础设施中没有发挥直接作用。 REvil被怀疑在最近几个月针对一家肉类供应商和一家主要信息技术供应商发动网络攻击并进行勒索。此举打击了美国和其他国家的企业，将其锁定在系统之外，而REvil则要求用钱来停止攻击。 当被问及政府是否对俄罗斯的这类网络犯罪分子采取了任何行动时，这位高级官员不愿透露。 具体到REvil，”我们当然注意到他们已经停止了他们的行动，我们不知道具体原因。”这位官员说。”但我们仍在敦促俄罗斯对在其境内活动的网络犯罪分子采取行动。我们不是在宣布胜利。” 当被问及克里姆林宫是否取缔了该组织或使该组织取缔了其网站时，这位官员说。”这是有可能的，我猜。同样，我们也不知道他们到底为什么要停工。” 这位官员根据政府制定的基本规则以匿名方式发言。 美国并没有将REvil的攻击与克里姆林宫直接联系起来。但美国总统拜登警告俄罗斯领导人弗拉基米尔-普京，他的政府需要对此类犯罪组织采取行动，如果必须采取行动，美国将对他们采取行动。 拜登的助手表示，应对日益严重的勒索软件威胁是美国的当务之急，他们正在使用各种措施来引起对这一威胁的前所未有的关注。 但是，鉴于美国网络能力的高度机密性，解决勒索软件也是他们讨论的一个艰难话题。在过去的一周里，政府官员在被问及是什么导致了REvil在线被攻破时都小心翼翼。 上周末，另一位高级政府官员说，美国在监测此案时正在追踪公开的信息。 “至少从公开信息来看，REvil的发言人的账户可能已经被俄罗斯黑客渠道所禁止。”该官员说。”而且我们继续看到，REvil的基础设施仍然处于关闭状态。我们认为这是一个非常积极的事情。”

与俄罗斯有关的勒索软件团伙REvil似乎已经从暗网上消失了，它在暗网上有几个记录其活动的网页，包括一个名为”快乐博客”的网页，目前均无法访问。 REvil的暗网 (.onion) 和明网(decoder.re) 网站均处于离线状态，尽管我们无法确切了解他们的网站是如何被撤下的。他们的明网站点的域名只是停止解析IP地址，但是其专用服务器仍然在线。 目前还不知道这些网站是暂时关闭还是该组织–或执法部门–将其网站下线。 网络安全公司Recorded Future Inc.的高级威胁分析师Allan Liska在一条短信中说：”现在下结论还为时过早，但我从未见过他们所有的基础设施像这样被关闭。”我在暗网上找不到他们的任何站点，他们的勒索页面不见了，他们所有的支付门户都离线了，他们的聊天功能也是如此。” 利斯卡说，这些网站在东部时间凌晨1点左右下线。 在突然中断的几天前，美国总统拜登说，他向俄罗斯总统普京施压，要求他对被指责为最近勒索软件攻击的俄罗斯黑客采取行动。 拜登告诉记者：”我非常清楚地告诉他，美国希望当勒索软件行动来自他的国土时，即使它不是由国家赞助的，我们也希望他能采取行动。“ 联邦调查局、网络安全和基础设施安全局和白宫的代表没有立即回应评论请求。克里姆林宫发言人德米特里-佩斯科夫(Dmitry Peskov)拒绝发表评论，称他不知道网络中断的情况。 周一，佩斯科夫说，俄罗斯正在等待美国提供有关从俄罗斯境内进行的所谓网络攻击的详细信息。”他说：”你说黑客从俄罗斯境内攻击了美国境内的一些公司，但至少你需要给出一些信息，说明这些结论的依据是什么。白宫曾表示，它已经与俄罗斯政府分享了关于犯罪黑客的信息。 网络安全公司和美国政府怀疑REvil在俄罗斯境内活动，它被指控是攻击巨型肉类供应商JBS SA的幕后黑手，后者最终向该组织支付了1100万美元的赎金。 最近，该组织开始了一次大规模的勒索软件攻击，影响了全球数百家公司。黑客的目标是软件公司Kaseya Ltd.和其客户。 在勒索软件攻击急剧增加的情况下，拜登政府已将打击黑客犯罪集团作为国家安全的首要任务。被指控对Colonial Pipeline Co.进行勒索软件攻击的疑似俄罗斯组织DarkSide在事后关闭了其暗网页面。据网络安全专家称，目前还不清楚该组织是真的撤退了，还是以新的名字重新命名。